Il a été signalé que Netty, un cadriciel client/serveur NIO en Java, est prédisposé à une vulnérabilité de dissimulation de requête HTTP en raison d'un mauvais traitement d'un espace avant les deux points dans des en-têtes HTTP.
Pour la distribution oldstable (Stretch), ce problème a été corrigé dans la version 1:4.1.7-2+deb9u1.
Pour la distribution stable (Buster), ce problème a été corrigé dans la version 1:4.1.33-1+deb10u1.
Nous vous recommandons de mettre à jour vos paquets netty.
Pour disposer d'un état détaillé sur la sécurité de netty, veuillez consulter sa page de suivi de sécurité à l'adresse : \ https://security-tracker.debian.org/tracker/netty.