リモートのUbuntu 18.04 LTSホストには、USN-4600-2のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

  - 4.1.44より前のNettyのHttpObjectDecoder.javaは、コロンが欠落したHTTPヘッダーを許可します。そのため、不適切な構文を含む別のヘッダーとして解釈されるか、無効な折り返しとして解釈される可能性があります。
    （CVE-2019-20444）

  - 4.1.44より前のNettyのHttpObjectDecoder.javaは、Content-Lengthヘッダーの後ろに2つ目のContent-LengthヘッダーまたはTransfer-Encodingヘッダーが続くことを許可します。（CVE-2019-20445）

  - 4.1.46より前のNetty 4.1.xのZlibDecodersは、ZlibEncodedバイトストリームのデコード中に、際限のないメモリ割り当てを許可します。攻撃者は大きなZlibEncodedバイトストリームをNettyサーバーに送信し、サーバーにその空きメモリのすべてを単一のデコーダーに割り当てさせる可能性があります。（CVE-2020-11612）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

検出

Ubuntu 18.04 LTS：Nettyの脆弱性（USN-4600-2）

critical Nessus プラグイン ID 141934

バージョン 1.7