Netty, асинхронная платформа сетевых приложений, управляемая событиями, имеет уязвимость, начиная с версии 4.1.91.Final и до версии 4.1.118.Final. Когда через SslHandler получен специально созданный пакет, он не во всех случаях правильно обрабатывает проверку такого пакета, что может привести к собственному сбою. Версия 4.1.118.Final содержит патч.
В качестве обходного пути можно либо отключить использование собственного SSLEngine, либо изменить код вручную.
Показать оригинальное описание (EN)
Netty, an asynchronous, event-driven network application framework, has a vulnerability starting in version 4.1.91.Final and prior to version 4.1.118.Final. When a special crafted packet is received via SslHandler it doesn't correctly handle validation of such a packet in all cases which can lead to a native crash. Version 4.1.118.Final contains a patch. As workaround its possible to either disable the usage of the native SSLEngine or change the code manually.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 5
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Netty Netty
cpe:2.3:a:netty:netty:*:*:*:*:*:*:*:*
|
4.1.91
|
4.1.118
|
|
Netapp Active_Iq_Unified_Manager
cpe:2.3:a:netapp:active_iq_unified_manager:-:*:*:*:*:linux:*:*
|
— | — |
|
Netapp Active_Iq_Unified_Manager
cpe:2.3:a:netapp:active_iq_unified_manager:-:*:*:*:*:vmware_vsphere:*:*
|
— | — |
|
Netapp Active_Iq_Unified_Manager
cpe:2.3:a:netapp:active_iq_unified_manager:-:*:*:*:*:windows:*:*
|
— | — |
|
Netapp Oncommand_Insight
cpe:2.3:a:netapp:oncommand_insight:-:*:*:*:*:*:*:*
|
— | — |