Debian DLA-3268-1：netty - LTS 安全更新

medium Nessus 插件 ID 170079

语言：

简介

远程 Debian 主机上缺少一个或多个与安全性相关的更新。

描述

远程 Debian 10 主机上安装的程序包受到 dla-3268 公告中提及的多个漏洞影响。

- Bzip2 解压缩解码器功能不允许对解压缩的输出数据设置大小限制（这会影响解压缩期间使用的分配大小）。Bzip2Decoder 的所有用户都会受到影响。恶意输入可触发 OOME 等 DoS 攻击 (CVE-2021-37136)

- Snappy 帧解码器功能未限制区块长度，这可能会导致内存使用过多。除此之外，它还可能缓冲保留的可跳过区块，直到接收整个区块为止，这也可能会导致内存使用过多。通过提供解压缩后的大小非常大的恶意输入（通过网络流或文件），或通过发送巨大的可跳过区块，可触发此漏洞。(CVE-2021-37137)

- Netty 是一个异步事件驱动的网络应用程序框架，用于快速开发可维护的高性能协议服务器和客户端。低于 4.1.71.Final 的 Netty 会跳过标头名称开头/结尾的控制字符。相反，它应该快速失败，因为这些是规范所禁止的，并且可能导致 HTTP 请求走私。当远程系统用作代理时，未执行验证可能导致 netty 在将标头名称转发到另一个远程系统之前审查标头名称。此远程系统无法再查看无效使用情况，因此不会自行执行验证。用户应升级到版本 4.1.71.Final。 (CVE-2021-43797)

- Netty 项目是一个事件驱动的异步网络应用程序框架。在低于 4.1.86.Final 的版本中，由于无限递归，在解析畸形构建的消息时可引发堆栈溢出错误。此问题已在 4.1.86.Final 版本中得到修补。除使用自定义 HaProxyMessageDecoder 外，没有其他变通方案。 (CVE-2022-41881)

- Netty 项目是一个事件驱动的异步网络应用程序框架。从版本 4.1.83.Final 到 4.1.86.Final 之前的版本开始，当通过 _iterator_ 调用 `DefaultHttpHeadesr.set` 时，未执行标头值验证，这允许迭代器中的恶意标头值执行 HTTP 响应拆分。此问题已在 4.1.86.Final 版本中得到修补。集成商可通过将值的迭代器中 `DefaultHttpHeaders.set(CharSequence, Iterator<?>)` 调用更改为 `remove()` 调用，并循环调用 `add()` 来解决此问题。 (CVE-2022-41915)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。