Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-05619

Опубликовано: 12 дек. 2022
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость сетевого программного средства Netty связана с неконтролируемой рекурсией. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Вендор

Сообщество свободного программного обеспечения
NetApp Inc.
ООО «Ред Софт»
АО "НППКТ"
Apache Software Foundation

Наименование ПО

Debian GNU/Linux
OnCommand Workflow Automation
SnapCenter
РЕД ОС
Active IQ Unified Manager for Microsoft Windows
Active IQ Unified Manager for VMware vSphere
SANtricity Storage Plugin for vCenter
ОСОН ОСнова Оnyx
E-Series SANtricity Unified Manager and Web Services Proxy
Cassandra
Active IQ Unified Manager for Linux
Cloud Insights Storage Workload Security Agent
netty

Версия ПО

10 (Debian GNU/Linux)
- (OnCommand Workflow Automation)
- (SnapCenter)
11 (Debian GNU/Linux)
7.3 (РЕД ОС)
- (Active IQ Unified Manager for Microsoft Windows)
- (Active IQ Unified Manager for VMware vSphere)
- (SANtricity Storage Plugin for vCenter)
до 2.7 (ОСОН ОСнова Оnyx)
- (E-Series SANtricity Unified Manager and Web Services Proxy)
4.1.3 (Cassandra)
- (Active IQ Unified Manager for Linux)
- (Cloud Insights Storage Workload Security Agent)
до 4.1.86 (netty)

Тип ПО

Операционная система
Прикладное ПО информационных систем
СУБД
Сетевое программное средство

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11
ООО «Ред Софт» РЕД ОС 7.3
АО "НППКТ" ОСОН ОСнова Оnyx до 2.7

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- использование антивирусных средств защиты;
- мониторинг действий пользователей;
- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе;
- применение систем обнаружения и предотвращения вторжений.
Использование рекомендаций:
Для Debian
https://lists.debian.org/debian-lts-announce/2023/01/msg00008.html
https://www.debian.org/security/2023/dsa-5316
Для Netty:
https://github.com/netty/netty/security/advisories/GHSA-fx2c-96vj-985v
Для Netapp:
https://security.netapp.com/advisory/ntap-20230113-0004/
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения netty до версии 1:4.1.33-1+deb10u3
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 24%
0.00077
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

redos логотип

ROS-20240514-04

CVSS3: 7.5
redos
около 1 года назад

Множественные уязвимости netty

ubuntu логотип

CVE-2022-41881

CVSS3: 5.3
ubuntu
больше 2 лет назад

Netty project is an event-driven asynchronous network application framework. In versions prior to 4.1.86.Final, a StackOverflowError can be raised when parsing a malformed crafted message due to an infinite recursion. This issue is patched in version 4.1.86.Final. There is no workaround, except using a custom HaProxyMessageDecoder.

redhat логотип

CVE-2022-41881

CVSS3: 7.5
redhat
больше 2 лет назад

Netty project is an event-driven asynchronous network application framework. In versions prior to 4.1.86.Final, a StackOverflowError can be raised when parsing a malformed crafted message due to an infinite recursion. This issue is patched in version 4.1.86.Final. There is no workaround, except using a custom HaProxyMessageDecoder.

nvd логотип

CVE-2022-41881

CVSS3: 5.3
nvd
больше 2 лет назад

Netty project is an event-driven asynchronous network application framework. In versions prior to 4.1.86.Final, a StackOverflowError can be raised when parsing a malformed crafted message due to an infinite recursion. This issue is patched in version 4.1.86.Final. There is no workaround, except using a custom HaProxyMessageDecoder.

debian логотип

CVE-2022-41881

CVSS3: 5.3
debian
больше 2 лет назад

Netty project is an event-driven asynchronous network application fram ...

EPSS

Процентиль: 24%
0.00077
Низкий

7.5 High

CVSS3

7.8 High

CVSS2