BDU:2022-00333: Уязвимость компонента HttpObjectDecoder.java сетевого программного средства Netty, связанная с недостатком в интерпретации HTTP-запросов, позволяющая нарушителю получить доступ к конфиденциальным данным и нарушить их целостность

Описание уязвимости

Уязвимость компонента HttpObjectDecoder.java сетевого программного средства Netty связана с отсутствием проверки наличия двоеточия в HTTP-заголовке. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным и нарушить их целостность

Вендор

Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», Apache Software Foundation

Наименование ПО

Версия ПО

  • 8.0 (Debian GNU/Linux)
  • 9.0 (Debian GNU/Linux)
  • 10.0 (Debian GNU/Linux)
  • 1.7 (Astra Linux Special Edition)
  • до 4.1.44 (netty)

Тип ПО

Операционная система, Сетевое программное средство

Операционные системы и аппаратные платформы

  • Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
  • Сообщество свободного программного обеспечения Debian GNU/Linux 9.0
  • Сообщество свободного программного обеспечения Debian GNU/Linux 10.0
  • ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 (запись в едином реестре российских программ №369)

Тип ошибки

Непоследовательная интерпретация HTTP-запросов ('Контрабанда HTTP-запросов')

Идентификатор типа ошибки

Класс уязвимости

Уязвимость кода

Дата выявления

10.12.2019

Базовый вектор уязвимости

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,1)

Возможные меры по устранению уязвимости

Для Netty:
использование рекомендаций производителя: https://github.com/netty/netty/issues/9866

Для ОС Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2019-20444

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Способ эксплуатации

  • Подмена при взаимодействии

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Идентификаторы других систем описаний уязвимостей

Прочая информация

Данные уточняются
Последние изменения