在 Java NIO 用戶端/伺服器通訊端架構 netty-3.9 中發現數個弱點。

CVE-2019-16869

Netty 4.1.42.Final 之前版本未正確處理 HTTP 標頭中冒號前的空格 (例如 Transfer-Encoding : chunked 行) ，進而導致 HTTP 要求走私。

CVE-2019-20444

在 Netty 4.1.44 之前版本中，HttpObjectDecoder.java 允許 HTTP 標頭中缺少冒號，這可能被解譯為具有語法錯誤的獨立標頭，或可能被解譯為無效折疊。

CVE-2019-20445

在 Netty 4.1.44 之前版本中，HttpObjectDecoder.java 允許 Content-Length 標頭隨附第二個 Content-Length 標頭或 Transfer-Encoding 標頭。

針對 Debian 9「Stretch」，已在 3.9.9.Final-1+deb9u1 版本中修正這些問題。

建議您升級 netty-3.9 套件。

如需有關 netty-3.9 安全性狀態的詳細資訊，請參閱其安全追蹤頁面：
https://security-tracker.debian.org/tracker/netty-3.9

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - 在版本低于 4.1.44 的 Netty 中，HttpObjectDecoder.java 允许缺少冒号的 HTTP 标头，此类标头可解释为语法错误的单独标头，或无效折叠。
    (CVE-2019-20444)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

远程 Ubuntu 16.04 LTS 主机上安装的程序包受到 USN-4600-1 公告中提及的多个漏洞的影响。

  - 版本低于 4.1.42 最终版的 Netty 未正确处理 HTTP 标头中冒号前的空格（例如“Transfer-Encoding : chunked”行），可能会造成 HTTP 请求走私。(CVE-2019-16869)

  - 在版本低于 4.1.44 的 Netty 中，HttpObjectDecoder.java 允许缺少冒号的 HTTP 标头，此类标头可解释为语法错误的单独标头，或无效折叠。
    (CVE-2019-20444)

  - 在版本低于 4.1.44 的 Netty 中，HttpObjectDecoder.java 允许 Content-Length 标头附带第二个 Content-Length 标头或 Transfer-Encoding 标头。(CVE-2019-20445)

  - Netty 4.1.43.Final 允许 HTTP 请求走私，因为其错误处理传输编码空白（例如 [space]Transfer-Encoding：分块的行）和更高版本的 Content-Length 标头。此问题是因对 CVE-2019-16869 的修复不完整所致。(CVE-2020-7238)

请注意，Nessus 尚未测试此问题，而是只依靠应用程序自我报告的版本号来判断。

远程 Ubuntu 18.04 LTS 主机上安装的一个程序包受到 USN-4600-2 公告中提及的多个漏洞影响。

    USN-4600-1 修复了 Netty 3.9 中的多个漏洞。此更新针对 Netty 的 CVE-2019-20444、CVE-2019-20445 提供了相应修复。

    另外，发现 Netty 允许不受限制的内存分配。远程攻击者可向 Netty 服务器发送大型流，导致其崩溃（拒绝服务）。(CVE-2020-11612)



Tenable 已直接从 Ubuntu 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 7 主机上安装的多个程序包受到 RHSA-2024:5856 公告中提及的多个漏洞影响。

    Red Hat JBoss Enterprise Application Platform 7 是基于 WildFly 应用程序运行时的 Java 应用程序平台。此 Red Hat JBoss Enterprise Application Platform 7.1.7 版本可替换 Red Hat JBoss Enterprise Application Platform 7.1.6，并包含缺陷修复和多项增强。请参阅 Red Hat JBoss Enterprise Application Platform 7.1.7 版本说明以获取有关此版本最重要的缺陷修复和增强功能信息。

    安全修复：

    * undertow：EAP：字段名称未按照 RFC7230 进行解析 [eap-7.1.z] (CVE-2020-1710)

    * commons-beanutils：apache-commons-beanutils：未在默认情况下禁用 PropertyUtilsBean 中的类属性 [eap-7.1.z] (CVE-2019-10086)

    * log4j：当应用程序配置为使用 JMSSink 时，Log4j 1.x 中会发生远程代码执行问题 [eap-7.1.z] (CVE-2022-23302)

    * jackson-databind：未正确处理默认输入导致远程代码执行 [eap-7.1.z] (CVE-2019-14379)

    * undertow：HTTP/2：使用 HEADERS 框架的洪流导致无限制内存增长 [eap-7.1.z] (CVE-2019-9514)

    * undertow：AJP 文件读取/注入漏洞 [eap-7.1.z] (CVE-2020-1745)

    * undertow：HTTP/2：大量的数据请求导致拒绝服务 [eap-7.1.z] (CVE-2019-9511)

    * undertow：servletPath 未经正确标准化，因此会造成危险的应用程序映射，这可能会导致安全绕过 [eap-7.1.z] (CVE-2020-1757)

    * undertow：侦听 HTTPS 的 Undertow HTTP 服务器中可能存在的拒绝服务 (DOS) 漏洞 [eap-7.1.z] (CVE-2019-14888)

    * log4j：Chainsaw 日志查看器中存在不安全的反序列化缺陷 [eap-7.1.z] (CVE-2022-23307)

    * netty：HttpObjectDecoder.java 允许内容长度标头附带第二个内容长度标头 [eap-7.1.z] (CVE-2019-20445)

    * log4j：当应用程序配置为使用 JMSAppender 时，Log4j 1.x 中会发生远程代码执行问题 [eap-7.1.z] (CVE-2021-4104)

    * undertow：HTTP/2：使用 SETTINGS 框架的 Flood 导致无限制的内存增长 [eap-7.1.z] (CVE-2019-9515)

    * infinispan-core：infinispan：ReflectionUtil 类的 invokeAccessibly 方法允许调用私有方法 [eap-7.1.z] (CVE-2019-10174)

    * log4j：当应用程序配置为使用 JDBCAppender 时，Log4j 1.x 中会发生 SQL 注入问题 [eap-7.1.z] (CVE-2022-23305)

    * jackson-databind：无法阻止 logback-core 类进行多态反序列化，可导致远程代码执行 [eap-7.1.z] (CVE-2019-12384)

    * wildfly-security-manager：安全管理器授权绕过 (CVE-2019-14843)

    * HTTP/2：使用 PING 帧进行淹没会导致无限的内存增长 (CVE-2019-9512)

    * netty：通过错误处理 HTTP 标头冒号前的空格来触发 HTTP 请求走私攻击 (CVE-2019-16869)

    * jackson-databind：org.apache.log4j.receivers.db 中的序列化小工具。* (CVE-2019-17531)

    * netty：HTTP 请求走私 (CVE-2019-20444)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

Java NIOクライアント/サーバーソケットフレームワークNettyが提供するHTTPサーバーに、複数の脆弱性が発見されました:

CVE-2019-20444

HttpObjectDecoder.javaにおいて、コロンが欠落したHTTPヘッダーが許容されるため、不適切な構文を含む別のヘッダーとして解釈されるか、無効な折り返しとして解釈される可能性があります。

CVE-2019-20445

HttpObjectDecoder.javaにおいて、Content-Lengthヘッダーの後ろに2つ目のContent-LengthヘッダーまたはTransfer-Encodingヘッダーが続く可能性があります。

CVE-2020-7238

Nettyにおいて、Transfer-Encodingの空白（[space]Transfer-Encoding: チャンク行）および以降のContent-Lengthヘッダーが誤って処理されるため、HTTPリクエストスマグリングの可能性があります。

Debian 8「Jessie」では、これらの問題はバージョン1:3.2.6.Final-2+deb8u2で修正されました。

nettyパッケージをアップグレードすることをお勧めします。

注: Tenable Network Securityは、前述の記述ブロックを DLA セキュリティアドバイザリから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

Java NIOクライアント/サーバーソケットフレームワークNettyに、複数の脆弱性が発見されました:

CVE-2014-0193

WebSocket08FrameDecoderにより、リモート攻撃者が、TextWebSocketFrameとそれに続くContinuationWebSocketFramesの長いストリームを介して、サービス拒否（メモリ消費）を引き起こす可能性があります。

CVE-2014-3488

SslHandlerにより、リモート攻撃者が、細工されたSSLv2Helloメッセージを通じてサービス拒否（無限ループとCPU消費）を引き起こす可能性があります。

CVE-2019-16869

Nettyにおいて、HTTPヘッダー内のコロンの前の空白が正しく処理されていないため（例:「Transfer-Encoding : チャンク行）、HTTPリクエストのスマグリングの可能性があります。

CVE-2019-20444

HttpObjectDecoder.javaにおいて、コロンが欠落したHTTPヘッダーが許容されるため、不適切な構文を含む別のヘッダーとして解釈されるか、無効な折り返しとして解釈される可能性があります。

CVE-2019-20445

HttpObjectDecoder.javaにおいて、Content-Lengthヘッダーの後ろに2つ目のContent-LengthヘッダーまたはTransfer-Encodingヘッダーが続く可能性があります。

CVE-2020-7238

Nettyにおいて、Transfer-Encodingの空白（[space]Transfer-Encoding: チャンク行）および以降のContent-Lengthヘッダーが誤って処理されるため、HTTPリクエストスマグリングの可能性があります。

Debian 8「Jessie」では、これらの問題はバージョン3.9.0.Final-1+deb8u1で修正されました。

使用しているnetty-3.9のパッケージをアップグレードするようお勧めします。

注: Tenable Network Securityは、前述の記述ブロックを DLA セキュリティアドバイザリから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

リモートの Redhat Enterprise Linux 6 / 8 ホストにインストールされているパッケージは、RHSA-2020: 0605アドバイザリに記載されている複数の脆弱性の影響を受けます。

  -netty：HTTPリクエストスマグリング（CVE-2019-20444）

  -netty：HttpObjectDecoder.javaは、Content-Lengthヘッダーに2つ目のContent-Lengthヘッダーが伴うことを許可します（CVE-2019-20445）

  -netty：転送エンコード空白の不適切な処理によるHTTPリクエストのスマグリング（CVE-2020-7238）

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートの Redhat Enterprise Linux 7 ホストにインストールされているパッケージは、RHSA-2020: 0805アドバイザリに記載されている複数の脆弱性の影響を受けます。

  - thrift: 特定の入力データでフィードする際の無限ループ（CVE-2019-0205）

  - thrift: TJSONProtocolまたはTSimpleJSONProtocolに関連する領域外読み取り（CVE-2019-0210）

  - apache-commons-beanutils: デフォルトでPropertyUtilsBean内のクラスプロパティを抑制しない（CVE-2019-10086）

  - xml-security：Apache Santuarioが信頼できないソースからXML構文解析コードをロードする可能性（CVE-2019-12400）

  - wildfly：OpenSSLセキュリティプロバイダーが使用中の場合、レガシーセキュリティの「enabled-protocols」の値が考慮されない（CVE-2019-14887）

  -netty：HTTPリクエストスマグリング（CVE-2019-20444）

  -netty：HttpObjectDecoder.javaは、Content-Lengthヘッダーに2つ目のContent-Lengthヘッダーが伴うことを許可します（CVE-2019-20445）

  -netty：転送エンコード空白の不適切な処理によるHTTPリクエストのスマグリング（CVE-2020-7238）

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

Java NIOクライアント/サーバーソケットフレームワークであるnetty-3.9に、複数の脆弱性が発見されました。

CVE-2019-16869

4.1.42.Finalより前のNettyでは、HTTPヘッダー内のコロンの前の空白が正しく処理されません（例：Transfer-Encoding : チャンクされた行）。そのため、HTTPリクエストスマグリングにつながります。 

CVE-2019-20444

4.1.44より前のNettyのHttpObjectDecoder.javaは、コロンが欠落したHTTPヘッダーを許可します。そのため、不適切な構文を含む別のヘッダーとして解釈されるか、無効な折り返しとして解釈される可能性があります。

CVE-2019-20445

4.1.44より前のNettyのHttpObjectDecoder.javaは、Content-Lengthヘッダーの後ろに2つ目のContent-LengthヘッダーまたはTransfer-Encodingヘッダーが続くことを許可します。

Debian 9「Stretch」では、これらの問題はバージョン3.9.9.Final-1+deb9u1で修正されています。

お使いのnetty-3.9パッケージをアップグレードすることを推奨します。

netty-3.9の詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください:
https://security-tracker.debian.org/tracker/netty-3.9

注: Tenable Network Securityは、前述の記述ブロックを DLA セキュリティアドバイザリから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

ID	名稱	產品	系列	已發布	已更新	嚴重性
140296	Debian DLA-2365-1：netty-3.9 安全性更新	Nessus	Debian Local Security Checks	2020/9/8	2024/2/21	critical
251746	Linux Distros 未修补的漏洞：CVE-2019-20444	Nessus	Misc.	2025/8/19	2025/8/19	critical
141822	Ubuntu 16.04 LTS：Netty 漏洞 (USN-4600-1)	Nessus	Ubuntu Local Security Checks	2020/10/22	2024/8/27	critical
141934	Ubuntu 18.04 LTS：Netty 漏洞 (USN-4600-2)	Nessus	Ubuntu Local Security Checks	2020/10/27	2024/10/29	critical
206210	RHEL 7：RHEL 7 上的 Red Hat JBoss Enterprise Application Platform 7.1.7 (RHSA-2024:5856)	Nessus	Red Hat Local Security Checks	2024/8/26	2024/11/7	critical
133813	Debian DLA-2109-1 : nettyセキュリティ更新プログラム	Nessus	Debian Local Security Checks	2020/2/20	2024/3/27	critical
133814	Debian DLA-2110-1 : netty-3.9セキュリティ更新プログラム	Nessus	Debian Local Security Checks	2020/2/20	2024/3/27	critical
134098	RHEL 6 / 8 : Red Hat JBoss Enterprise Application Platform 7.2（RHSA-2020: 0605)	Nessus	Red Hat Local Security Checks	2020/2/27	2024/11/7	critical
134613	RHEL 7: RHEL 7上のRed Hat JBoss Enterprise Application Platform 7.2.7 （RHSA-2020: 0805)	Nessus	Red Hat Local Security Checks	2020/3/16	2024/11/7	critical
140296	Debian DLA-2365-1: netty-3.9 セキュリティ更新	Nessus	Debian Local Security Checks	2020/9/8	2024/2/21	critical

偵測

搜尋 Plugin

critical

critical

critical

critical

critical

critical

critical

critical

critical

critical