BDU:2022-00333: Уязвимость компонента HttpObjectDecoder.java сетевого программного средства Netty, связанная с недостатком в интерпретации HTTP-запросов, позволяющая нарушителю получить доступ к конфиденциальным данным и нарушить их целостность

Описание уязвимости Уязвимость компонента HttpObjectDecoder.java сетевого программного средства Netty связана с отсутствием проверки наличия двоеточия в HTTP-заголовке. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным и нарушить их целостность
Вендор Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», Apache Software Foundation
Наименование ПО Debian GNU/Linux, Astra Linux Special Edition (запись в едином реестре российских программ №369), netty
Версия ПО
  • 8.0 (Debian GNU/Linux)
  • 9.0 (Debian GNU/Linux)
  • 10.0 (Debian GNU/Linux)
  • 1.7 (Astra Linux Special Edition)
  • до 4.1.44 (netty)
Тип ПО Операционная система, Сетевое программное средство
Операционные системы и аппаратные платформы
  • Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
  • Сообщество свободного программного обеспечения Debian GNU/Linux 9.0
  • Сообщество свободного программного обеспечения Debian GNU/Linux 10.0
  • ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 (запись в едином реестре российских программ №369)
Тип ошибки Непоследовательная интерпретация HTTP-запросов ('Контрабанда HTTP-запросов')
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 10.12.2019
Базовый вектор уязвимости
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,1)
Возможные меры по устранению уязвимости
Для Netty:
использование рекомендаций производителя: https://github.com/netty/netty/issues/9866

Для ОС Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2019-20444

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует в открытом доступе
Способ эксплуатации
  • Подмена при взаимодействии
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения