Debian DLA-3268-1：netty - LTS 安全性更新

medium Nessus Plugin ID 170079

語系：

概要

遠端 Debian 主機上缺少一個或多個安全性更新。

說明

遠端 Debian 10 主機上安裝的一個套件受到 dla-3268 公告中提及的多個弱點影響。

- Bzip2 解壓縮解碼器函式不允許對解壓縮的輸出資料設定大小限制 (這會影響解壓縮期間使用的配置大小)。所有 Bzip2Decoder 使用者都會受到影響。惡意輸入可能會導致 OOME 及 DoS 攻擊 (CVE-2021-37136)

- Snappy 框架解碼器函式不會限制可能導致使用過多記憶體的區塊長度。除此之外，它還可能在收到整個區塊前緩衝保留的可略過區塊，這同樣有可能造成過量使用記憶體。提供可解壓縮為大型內容 (透過網路資料流或檔案) 的惡意輸入，或傳送可略過的巨型區塊，皆可能會導致出現此弱點。(CVE-2021-37137)

- Netty 是一種非同步事件驅動型網路應用程式架構，適用於快速開發可維護的高效能通訊協定伺服器和用戶端。當標頭名稱的開頭/結尾中出現控制字元時，Netty 4.1.71.Final 之前的版本會略過這些字元。不過這應該很快便會失敗，因為不符合規格要求，而且可能造成 HTTP 要求走私攻擊。未執行驗證可能會導致 netty 在將標頭名稱傳遞至其他遠端系統以作為 Proxy 使用之前先清理標頭名稱。此遠端系統無法再查看無效的使用方式，因此不會自行執行驗證。使用者應升級至 4.1.71.Final 版。(CVE-2021-43797)

- Netty 專案是一個事件驅動的非同步網路應用程式架構。在 4.1.86.Final 之前的版本中，剖析格式錯誤的特製訊息時，可能會因無限遞回而造成 StackOverflowError。此問題已在 4.1.86.Final 版中修正。除了使用自訂 HaProxyMessageDecoder 外，沒有其他因應措施。(CVE-2022-41881)

- Netty 專案是一個事件驅動的非同步網路應用程式架構。在 4.1.83.Final 到 4.1.86.Final 版中，以 _iterator_ 值呼叫 `DefaultHttpHeadesr.set` 時，並未執行標頭值驗證，這讓迭代器中的惡意標頭值能夠執行 HTTP 回應分割攻擊。此問題已在 4.1.86.Final 版中修正。整合器可將 `DefaultHttpHeaders.set(CharSequence, Iterator<?>)` 呼叫變更為 `remove()` 呼叫，並在值的迭代器迴圈中呼叫 `add()`，即可解決此問題。(CVE-2022-41915)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。