PT-2021-7976 · Netty+5 · Netty+5

Publicado

2021-09-09

·

Atualizado

2024-10-30

·

CVE-2021-37137

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
Versões do Netty anteriores à 4.1.67.Final
Descrição
A função do decodificador de quadros Snappy não restringe o comprimento dos blocos, o que pode levar a um uso excessivo de memória. Além disso, ela pode armazenar em buffer blocos reservados que podem ser ignorados até que o bloco inteiro seja recebido, resultando em uso excessivo de memória. Esse problema pode ser desencadeado pelo fornecimento de uma entrada maliciosa que, ao ser descompactada, atinge um tamanho muito grande ou pelo envio de um bloco enorme que pode ser ignorado. Todos os usuários do SnappyFrameDecoder são afetados, colocando o aplicativo em risco de um ataque de negação de serviço devido ao uso excessivo de memória.
Recomendações
Para versões do Netty anteriores à 4.1.67.Final, atualize para a versão 4.1.67.Final ou posterior para resolver o problema. Como solução temporária, considere restringir o tamanho da entrada para evitar o uso excessivo de memória. Além disso, monitore o uso de memória do aplicativo para detectar possíveis ataques de negação de serviço.

Correção

Resource Exhaustion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-400

Identificadores relacionados

BDU:2023-08650
CVE-2021-37137
DLA-3268-1
DSA-5316-1
GHSA-9VJP-V76F-G363
OESA-2021-1423
OPENSUSE-SU-2022_1271-1
OPENSUSE-SU-2024:14442-1
RHSA-2022:4918
RHSA-2022:4919
RHSA-2022:8506
RHSA-2025:9582
RHSA-2025:9583
RLSA-2022:8506
SUSE-SU-2022:1271-1
SUSE-SU-2022:3617-1
SUSE-SU-2022:3760-1
SUSE-SU-2022:3793-1
USN-6049-1

Produtos afetados

Astra Linux
Linuxmint
Netty
Rocky Linux
Suse
Ubuntu