FERRAMENTAS LINUX: Atualização de segurança do Debian para o netty-3.9 , aviso Debian LTS: DLA-2110-1

quarta-feira, 19 de fevereiro de 2020

Atualização de segurança do Debian para o netty-3.9 , aviso Debian LTS: DLA-2110-1



Confira !!



Várias vulnerabilidades foram descobertas no Netty, uma estrutura de soquete cliente / servidor Java NIO:

Pacote: netty-3.9
Versão: 3.9.0.Final-1 + deb8u1
ID da CVE: CVE-2014-0193 CVE-2014-3488 CVE-2019-16869 CVE-2019-20444
                 CVE-2019-20445 CVE-2020-7238
Erro no Debian: 746639 941266 950966 950967


Várias vulnerabilidades foram descobertas no Netty, um Java NIO
estrutura de soquete cliente / servidor:

CVE-2014-0193

    WebSocket08FrameDecoder permite que atacantes remotos causem uma negação
    de serviço (consumo de memória) por meio de um TextWebSocketFrame seguido
    por um longo fluxo de ContinuationWebSocketFrames.

CVE-2014-3488

    O SslHandler permite que atacantes remotos causem uma negação de
    serviço (loop infinito e consumo de CPU) por meio de um
    Olá, mensagem SSLv2.

CVE-2019-16869

    Netty manipula espaço em branco antes dos dois pontos nos cabeçalhos HTTP (como
    como uma linha "Transfer-Encoding: chunked"), que leva ao HTTP
    solicitar contrabando.

CVE-2019-20444

    HttpObjectDecoder.java permite um cabeçalho HTTP sem dois pontos,
    que pode ser interpretado como um cabeçalho separado com uma incorreta
    sintaxe ou pode ser interpretado como uma "dobra inválida".

CVE-2019-20445

    HttpObjectDecoder.java permite que um cabeçalho Content-Length seja
    acompanhada por um segundo cabeçalho Content-Length ou por um
    Cabeçalho de codificação de transferência.

CVE-2020-7238

    O Netty permite o contrabando de solicitação de HTTP porque manipula incorretamente
    Espaço em branco da codificação de transferência (como um
    [space] Transfer-Encoding: linha em pedaços) e um conteúdo-comprimento posterior
    cabeçalho.

Para o Debian 8 "Jessie", esses problemas foram corrigidos na versão
3.9.0.Final-1 + deb8u1.

Recomendamos que você atualize seus pacotes netty-3.9.

Mais informações sobre os avisos de segurança Debian LTS, como aplicar
Essas atualizações do sistema e as perguntas freqüentes podem ser
encontrado em: https://wiki.debian.org/LTS



Fonte

Até a próxima !!

Nenhum comentário:

Postar um comentário