Netty — это асинхронная платформа сетевых приложений, управляемая событиями. В версиях до 4.1.132.Final и 4.2.10.Final удаленный пользователь может вызвать отказ в обслуживании (DoS) против сервера Netty HTTP/2, отправив поток кадров CONTINUATION. Отсутствие на сервере ограничения на количество кадров «ПРОДОЛЖЕНИЕ» в сочетании с обходом существующих средств защиты на основе размера с использованием нулевых кадров позволяет пользователю вызывать чрезмерную загрузку ЦП при минимальной пропускной способности, в результате чего сервер перестает отвечать на запросы.
Версии 4.1.132.Final и 4.2.10.Final устраняют проблему.
Показать оригинальное описание (EN)
Netty is an asynchronous, event-driven network application framework. In versions prior to 4.1.132.Final and 4.2.10.Final, a remote user can trigger a Denial of Service (DoS) against a Netty HTTP/2 server by sending a flood of `CONTINUATION` frames. The server's lack of a limit on the number of `CONTINUATION` frames, combined with a bypass of existing size-based mitigations using zero-byte frames, allows an user to cause excessive CPU consumption with minimal bandwidth, rendering the server unresponsive. Versions 4.1.132.Final and 4.2.10.Final fix the issue.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 2
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Netty Netty
cpe:2.3:a:netty:netty:*:*:*:*:*:*:*:*
|
— |
4.1.132
|
|
Netty Netty
cpe:2.3:a:netty:netty:*:*:*:*:*:*:*:*
|
4.2.0
|
4.2.10
|