Plusieurs vulnérabilités ont été découvertes dans le serveur HTTP fourni par Netty, un environnement de développement de sockets client/serveur NIO en Java.
WebSocket08FrameDecoder permet à des attaquants distants de provoquer un déni de service (consommation de mémoire) à l'aide d'un TextWebSocketFrame suivi par un long flux de ContinuationWebSocketFrames.
Le SslHandler permet à des attaquants distants de provoquer un déni de service (boucle infinie et consommation de CPU) à l'aide d'un message SSLv2Hello contrefait.
Netty gère incorrectement un espace blanc avant un deux-points dans un en-tête HTTP (telle une ligne « Transfer-Encoding : chunked »), conduisant à une dissimulation de requête HTTP.
HttpObjectDecoder.java permet à un en-tête HTTP ayant un deux-points en moins d’être interprété comme un en-tête distinct avec une syntaxe incorrecte ou d’être interprété comme un « fold » non valable.
HttpObjectDecoder.java permet à un en-tête Content-Length d’être accompagné par un second en-tête Content-Length ou par un en-tête Transfer-Encoding.
Netty permet la dissimulation de requête HTTP à cause d’une gestion incorrecte d’espace blanc Transfer-Encoding (telle une ligne [espace]Transfer-Encoding:chunked) et un en-tête Content-Length après.
Pour Debian 8 Jessie
, ces problèmes ont été corrigés dans
la version 3.9.0.Final-1+deb8u1.
Nous vous recommandons de mettre à jour vos paquets netty-3.9.
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.