Debian DLA-2364-1: nettyセキュリティ更新

critical Nessus プラグイン ID 140295

Language:

概要

リモートの Debian ホストにセキュリティ更新プログラムがありません。

説明

Java NIOクライアント/サーバーソケットフレームワークであるnettyに、複数の脆弱性が発見されました。

CVE-2019-20444

4.1.44より前のNettyのHttpObjectDecoder.javaは、コロンが欠落したHTTPヘッダーを許可します。そのため、不適切な構文を含む別のヘッダーとして解釈されるか、無効な折り返しとして解釈される可能性があります。

CVE-2019-20445

4.1.44より前のNettyのHttpObjectDecoder.javaは、Content-Lengthヘッダーの後ろに2つ目のContent-LengthヘッダーまたはTransfer-Encodingヘッダーが続くことを許可します。

CVE-2020-7238

Netty 4.1.43.Finalでは、Transfer-Encodingの空白（[space]Transfer-Encoding チャンク行）および以降のContent-Lengthヘッダーが誤って処理されるため、HTTPリクエストスマグリングの可能性があります。この問題は、CVE-2019-16869 の修正が不完全なために存在します。

CVE-2020-11612

4.1.46より前のNetty 4.1.xのZlibDecodersは、ZlibEncodedバイトストリームのデコード中に、際限のないメモリ割り当てを許可します。攻撃者は大きなZlibEncodedバイトストリームをNettyサーバーに送信し、サーバーにその空きメモリのすべてを単一のデコーダーに割り当てさせる可能性があります。

Debian 9「Stretch」では、これらの問題はバージョン1:4.1.7-2+deb9u2で修正されています。

nettyパッケージをアップグレードすることをお勧めします。

nettyの詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください: https://security-tracker.debian.org/tracker/netty

注: Tenable Network Securityは、前述の記述ブロックを DLA セキュリティアドバイザリから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。