Netty, асинхронная платформа сетевых приложений, управляемая событиями, имеет уязвимость в версиях до 4.1.118.Final включительно. Небезопасное чтение файла среды потенциально может привести к отказу в обслуживании в Netty. При загрузке приложения Windows Netty пытается загрузить несуществующий файл.
Если злоумышленник создаст такой большой файл, приложение Netty выйдет из строя. Ранее о подобной проблеме сообщалось как CVE-2024-47535. Эта проблема была исправлена, но исправление было неполным, поскольку нулевые байты не учитывались при входном пределе.
Коммит d1fbda62d3a47835d3fb35db8bd42ecc205a5386 содержит обновленное исправление.
Показать оригинальное описание (EN)
Netty, an asynchronous, event-driven network application framework, has a vulnerability in versions up to and including 4.1.118.Final. An unsafe reading of environment file could potentially cause a denial of service in Netty. When loaded on an Windows application, Netty attempts to load a file that does not exist. If an attacker creates such a large file, the Netty application crash. A similar issue was previously reported as CVE-2024-47535. This issue was fixed, but the fix was incomplete in that null-bytes were not counted against the input limit. Commit d1fbda62d3a47835d3fb35db8bd42ecc205a5386 contains an updated fix.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 2
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Netty Netty
cpe:2.3:a:netty:netty:*:*:*:*:*:*:*:*
|
— |
4.1.118
|
|
Microsoft Windows
cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*
|
— | — |