CVE-2022-41881

CVSS 5.3 MEDIUMEPSS 1.5%CWE-674

Em resumo

O decodificador de mensagens proxy HTTP do Netty pode causar uma falha de estouro de pilha ao processar mensagens malformadas especialmente crafted, resultando em negação de serviço.

Detalhe técnico

Uma vulnerabilidade de recursão infinita no HaProxyMessageDecoder (CWE-674) permite que atacantes remotos disparem StackOverflowError através de mensagens malformadas, resultando em crash da aplicação. Sem autenticação necessária; vetor de ataque é rede e afeta versões anteriores a 4.1.86.Final.

Resumo gerado e traduzido por IA a partir da descrição oficial.

Netty project is an event-driven asynchronous network application framework. In versions prior to 4.1.86.Final, a StackOverflowError can be raised when parsing a malformed crafted message due to an infinite recursion. This issue is patched in version 4.1.86.Final. There is no workaround, except using a custom HaProxyMessageDecoder.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Produtos afetados

netty · netty

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://github.com/netty/netty/security/advisories/GHSA-fx2c-96vj-985v https://lists.debian.org/debian-lts-announce/2023/01/msg00008.html https://security.netapp.com/advisory/ntap-20230113-0004/https://www.debian.org/security/2023/dsa-5316