Debian DLA-2110-1 : netty-3.9セキュリティ更新プログラム

critical Nessus プラグイン ID 133814

Language:

概要

リモートの Debian ホストにセキュリティ更新プログラムがありません。

説明

Java NIOクライアント/サーバーソケットフレームワークNettyに、複数の脆弱性が発見されました:

CVE-2014-0193

WebSocket08FrameDecoderにより、リモート攻撃者が、TextWebSocketFrameとそれに続くContinuationWebSocketFramesの長いストリームを介して、サービス拒否（メモリ消費）を引き起こす可能性があります。

CVE-2014-3488

SslHandlerにより、リモート攻撃者が、細工されたSSLv2Helloメッセージを通じてサービス拒否（無限ループとCPU消費）を引き起こす可能性があります。

CVE-2019-16869

Nettyにおいて、HTTPヘッダー内のコロンの前の空白が正しく処理されていないため（例:「Transfer-Encoding : チャンク行）、HTTPリクエストのスマグリングの可能性があります。

CVE-2019-20444

HttpObjectDecoder.javaにおいて、コロンが欠落したHTTPヘッダーが許容されるため、不適切な構文を含む別のヘッダーとして解釈されるか、無効な折り返しとして解釈される可能性があります。

CVE-2019-20445

HttpObjectDecoder.javaにおいて、Content-Lengthヘッダーの後ろに2つ目のContent-LengthヘッダーまたはTransfer-Encodingヘッダーが続く可能性があります。

CVE-2020-7238

Nettyにおいて、Transfer-Encodingの空白（[space]Transfer-Encoding: チャンク行）および以降のContent-Lengthヘッダーが誤って処理されるため、HTTPリクエストスマグリングの可能性があります。

Debian 8「Jessie」では、これらの問題はバージョン3.9.0.Final-1+deb8u1で修正されました。

使用しているnetty-3.9のパッケージをアップグレードするようお勧めします。

注: Tenable Network Securityは、前述の記述ブロックを DLA セキュリティアドバイザリから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。