PT-2020-5478 · Netty+4 · Netty+4

Publicado

2020-04-07

·

Atualizado

2024-06-15

·

CVE-2020-11612

CVSS v2.0

10

Alta

VetorAV:N/AC:L/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
Versões 4.1.x a 4.1.45 do Netty
Descrição
O problema está relacionado à classe ZlibDecoders no Netty, que permite a alocação ilimitada de memória durante a decodificação de um fluxo de bytes ZlibEncoded. Isso pode ser explorado por um invasor para comprometer a confidencialidade, integridade e disponibilidade de informações protegidas, enviando um grande fluxo de bytes ZlibEncoded ao servidor Netty, forçando-o a alocar toda a sua memória livre a um único decodificador.
Recomendações
Para as versões 4.1.x a 4.1.45 do Netty, atualize para a versão 4.1.46 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o tamanho dos fluxos de bytes ZlibEncoded recebidos para evitar alocação excessiva de memória.

Exploit

Correção

Allocation of Resources Without Limits

Buffer Overflow

Resource Exhaustion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-770CWE-119CWE-400

Identificadores relacionados

BDU:2021-00773
CVE-2020-11612
DLA-2364-1
DSA-4885-1
GHSA-MM9X-G8PC-W292
OPENSUSE-SU-2024:11085-1
RHSA-2020:2605
RHSA-2020:3461
RHSA-2020:3462
RHSA-2020:3463
RHSA-2021:1313
SUSE-SU-2022:3617-1
SUSE-SU-2022:3760-1
SUSE-SU-2022:3793-1
USN-4600-2
USN-6049-1

Produtos afetados

Astra Linux
Linuxmint
Netty
Suse
Ubuntu