Vulnérabilité dans Netty
Date de publication :
Debian a publié un bulletin faisant état d’une vulnérabilité dans Netty, un framework client-serveur pour le développement d'applications réseau Java. Cette vulnérabilité permet à un attaquant distant d’injecter des requêtes HTTP malveillantes dans une requête légitime.
CVE-2019-16869 [Score CVSS v3 : 7.5] : Une vulnérabilité de type HTTP request smuggling est présente dans les versions Netty inférieures à 4.1.42 à cause d’une mauvaise gestion des espaces dans les en-têtes HTTP.
Cette technique d'attaque permet d'injecter des requêtes HTTP malveillantes dans une requête légitime. Le premier composant qui analyse la requête ne voit que la requête légitime et transfère toutes les requêtes aux composants suivants de la chaîne de traitement. Ceci permettrait de contourner les mesures de sécurité par exemple.
Aucun détail technique n'a été donné mais la vulnérabilité a été annoncée comme exploitable à distance et ayant un fort impact sur l'intégrité des données.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
-
Corruption de données
Criticité
-
Score CVSS v3 : 7.5
Existence d’un code d‘exploitation
-
Aucun
Composants vulnérables
-
Netty (versions antérieures à la version 4.1.42)
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Debian a publié les recommandations suivantes :
- Pour la distribution oldstable (Stretch), ces problèmes ont été corrigés dans la version 1:4.1.7-2+deb9u1
- Pour la distribution stable (Buster), ces problèmes ont été corrigés dans la version 1:4.1.33-1+deb10u1.
- Debian recommande de mettre à jour les paquets Netty
Solution de contournement
Aucune