BDU:2023-08648

Опубликовано: 09 дек. 2021

Источник: fstec

CVSS3: 6.5

CVSS2: 7.8

EPSS Низкий

Описание

Уязвимость сетевого программного средства Netty связана с некорректной обработкой управляющих символов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность защищаемой информации

Вендор

Oracle Corp.

Сообщество свободного программного обеспечения

NetApp Inc.

Red Hat Inc.

Novell Inc.

Canonical Ltd.

АО "НППКТ"

SonarSource

Apache Software Foundation

Наименование ПО

Oracle Communications Messaging Server

Debian GNU/Linux

OnCommand Workflow Automation

SnapCenter

OpenShift Application Runtimes

Red Hat Single Sign-On

Red Hat JBoss Fuse

Oracle Coherence

openSUSE Tumbleweed

Red Hat OpenStack Platform

Jboss Operations Network

Ubuntu

Red Hat JBoss Data Grid

A-MQ Clients

Oracle Communications Design Studio

OpenSUSE Leap

Red Hat JBoss A-MQ

OpenShift Logging

SUSE Linux Enterprise High Performance Computing

Suse Linux Enterprise Server

SUSE Linux Enterprise Server for SAP Applications

SUSE Manager Proxy

SUSE Manager Server

Suse Linux Enterprise Desktop

SUSE Linux Enterprise Module for Development Tools

Red Hat OpenShift Container Platform

Helidon

Oracle Communications Cloud Native Core Policy

SUSE Manager Retail Branch Server

Red Hat AMQ Online

SUSE Enterprise Storage

Decision Manager

ОСОН ОСнова Оnyx

SUSE Linux Enterprise Module for Package Hub

Red Hat JBoss Enterprise Application Platform

Oracle Communications Cloud Native Core Unified Data Repository

Red Hat Satellite

Communications Cloud Native Core Binding Support Function

Oracle Communications Cloud Native Core Network Slice Selection Function

Oracle Communications Cloud Native Core Security Edge Protection Proxy

Oracle PeopleSoft Enterprise PeopleTools

SonarQube

Logging subsystem for Red Hat OpenShift

Red Hat Data Grid

Red Hat Process Automation Manager

netty

quarkus

Oracle Banking Deposits and Lines of Credit Servicing

Oracle Banking Party Management

Oracle Banking Platform

Red Hat AMQ

Red Hat AMQ Streams

Red Hat build of Quarkus

Red Hat Fuse

Версия ПО

8.1 (Oracle Communications Messaging Server)

10 (Debian GNU/Linux)

- (OnCommand Workflow Automation)

- (SnapCenter)

- (OpenShift Application Runtimes)

7 (Red Hat Single Sign-On)

6 (Red Hat JBoss Fuse)

12.2.1.4.0 (Oracle Coherence)

- (openSUSE Tumbleweed)

10.0 (Newton) (Red Hat OpenStack Platform)

13.0 (Queens) (Red Hat OpenStack Platform)

3.0 (Jboss Operations Network)

20.04 LTS (Ubuntu)

7 (Red Hat JBoss Data Grid)

2 (A-MQ Clients)

14.1.1.0.0 (Oracle Coherence)

7.4.2 (Oracle Communications Design Studio)

16.04 ESM (Ubuntu)

15.3 (OpenSUSE Leap)

11 (Debian GNU/Linux)

12 (Debian GNU/Linux)

6 (Red Hat JBoss A-MQ)

5.2 (OpenShift Logging)

5.3 (OpenShift Logging)

15.4 (OpenSUSE Leap)

15 SP3 (SUSE Linux Enterprise High Performance Computing)

15 SP3 (Suse Linux Enterprise Server)

15 SP3 (SUSE Linux Enterprise Server for SAP Applications)

4.2 (SUSE Manager Proxy)

4.2 (SUSE Manager Server)

15 SP3 (Suse Linux Enterprise Desktop)

15 SP3 (SUSE Linux Enterprise Module for Development Tools)

3.11 (Red Hat OpenShift Container Platform)

15 SP4 (Suse Linux Enterprise Server)

4 (Red Hat OpenShift Container Platform)

15 SP4 (Suse Linux Enterprise Desktop)

15 SP4 (SUSE Linux Enterprise Server for SAP Applications)

1.4.10 (Helidon)

1.15.0 (Oracle Communications Cloud Native Core Policy)

4.2 (SUSE Manager Retail Branch Server)

22.04 LTS (Ubuntu)

- (Red Hat AMQ Online)

4.3 (SUSE Manager Retail Branch Server)

4.3 (SUSE Manager Proxy)

4.3 (SUSE Manager Server)

15 SP4 (SUSE Linux Enterprise High Performance Computing)

7.1 (SUSE Enterprise Storage)

15 SP4 (SUSE Linux Enterprise Module for Development Tools)

7 (Decision Manager)

22.10 (Ubuntu)

до 2.7 (ОСОН ОСнова Оnyx)

15 SP5 (SUSE Linux Enterprise Server for SAP Applications)

15 SP5 (Suse Linux Enterprise Server)

15 SP5 (Suse Linux Enterprise Desktop)

15 SP5 (SUSE Linux Enterprise High Performance Computing)

15 SP5 (SUSE Linux Enterprise Module for Development Tools)

18.04 ESM (Ubuntu)

15 SP5 (SUSE Linux Enterprise Module for Package Hub)

7 (Red Hat JBoss Enterprise Application Platform)

1.15.0 (Oracle Communications Cloud Native Core Unified Data Repository)

6.11 for RHEL 7 (Red Hat Satellite)

6.11 for RHEL 8 (Red Hat Satellite)

1.11.0 (Communications Cloud Native Core Binding Support Function)

1.8.0 (Oracle Communications Cloud Native Core Network Slice Selection Function)

1.7.0 (Oracle Communications Cloud Native Core Security Edge Protection Proxy)

2.4.0 (Helidon)

8.58 (Oracle PeopleSoft Enterprise PeopleTools)

7.6 for RHEL 7 (Red Hat Single Sign-On)

7.6 for RHEL 8 (Red Hat Single Sign-On)

7.6 for RHEL 9 (Red Hat Single Sign-On)

8.59 (Oracle PeopleSoft Enterprise PeopleTools)

9.3.3 (SonarQube)

6 (Red Hat JBoss Enterprise Application Platform)

7.4 for RHEL 8 (Red Hat JBoss Enterprise Application Platform)

7.4 on RHEL 7 (Red Hat JBoss Enterprise Application Platform)

5.4 (Logging subsystem for Red Hat OpenShift)

8.3.0 (Red Hat Data Grid)

7.13.0 (Red Hat Process Automation Manager)

до 4.1.71 (netty)

до 2.5.3 (quarkus)

2.7 (Oracle Banking Deposits and Lines of Credit Servicing)

2.7 (Oracle Banking Party Management)

2.6.2 (Oracle Banking Platform)

7.5 for RHEL 7 (Red Hat Single Sign-On)

7.5 for RHEL 8 (Red Hat Single Sign-On)

7.10.0 (Red Hat AMQ)

7.6.1 (Red Hat Single Sign-On)

2.1.0 (Red Hat AMQ Streams)

2.7.5 (Red Hat build of Quarkus)

7.11 (Red Hat Fuse)

5 (Red Hat JBoss Enterprise Application Platform)

Тип ПО

Прикладное ПО информационных систем

Операционная система

Сетевое программное средство

ПО программно-аппаратного средства

Сетевое средство

ПО сетевого программно-аппаратного средства

ПО виртуализации/ПО виртуального программно-аппаратного средства

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 10

Novell Inc. openSUSE Tumbleweed -

Canonical Ltd. Ubuntu 20.04 LTS

Canonical Ltd. Ubuntu 16.04 ESM

Novell Inc. OpenSUSE Leap 15.3

Сообщество свободного программного обеспечения Debian GNU/Linux 11

Сообщество свободного программного обеспечения Debian GNU/Linux 12

Novell Inc. OpenSUSE Leap 15.4

Novell Inc. Suse Linux Enterprise Server 15 SP3

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3

Novell Inc. Suse Linux Enterprise Desktop 15 SP3

Novell Inc. Suse Linux Enterprise Server 15 SP4

Novell Inc. Suse Linux Enterprise Desktop 15 SP4

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4

Canonical Ltd. Ubuntu 22.04 LTS

Canonical Ltd. Ubuntu 22.10

АО "НППКТ" ОСОН ОСнова Оnyx до 2.7

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP5

Novell Inc. Suse Linux Enterprise Server 15 SP5

Novell Inc. Suse Linux Enterprise Desktop 15 SP5

Canonical Ltd. Ubuntu 18.04 ESM

Novell Inc. SUSE Linux Enterprise Module for Package Hub 15 SP5

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для Ubuntu:

https://ubuntu.com/security/notices/USN-6049-1

Для программных продуктов NetApp Inc.:

https://security.netapp.com/advisory/ntap-20220107-0003/

Для программных продуктов Novell Inc.:

https://www.suse.com/security/cve/CVE-2021-43797.html

Для программных продуктов Oracle Corp.:

https://www.oracle.com/security-alerts/cpuapr2022.html

https://www.oracle.com/security-alerts/cpujul2022.html

Для программных продуктов Red Hat Inc.:

https://access.redhat.com/security/cve/CVE-2021-43797

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2021-43797

Для quarkus:

Обновление программного обеспечения до версии 2.5.3 и выше

Для программных продуктов SonarSource

Компенсирующие меры:

- использование антивирусных средств защиты для отслеживания попыток эксплуатации уязвимости;

- мониторинг действий пользователей;

- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе.

Для ОСОН ОСнова Оnyx:

Обновление программного обеспечения netty до версии 1:4.1.33-1+deb10u3

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2021-43797
CVE

EPSS

Процентиль: 61%

0.00419

Низкий

6.5 Medium

CVSS3

7.8 High

CVSS2

Связанные уязвимости

CVE-2021-43797

CVSS3: 6.5

ubuntu

около 4 лет назад

Netty is an asynchronous event-driven network application framework for rapid development of maintainable high performance protocol servers & clients. Netty prior to version 4.1.71.Final skips control chars when they are present at the beginning / end of the header name. It should instead fail fast as these are not allowed by the spec and could lead to HTTP request smuggling. Failing to do the validation might cause netty to "sanitize" header names before it forward these to another remote system when used as proxy. This remote system can't see the invalid usage anymore, and therefore does not do the validation itself. Users should upgrade to version 4.1.71.Final.

CVE-2021-43797

CVSS3: 6.5

redhat

около 4 лет назад

CVE-2021-43797

CVSS3: 6.5

nvd

около 4 лет назад

CVE-2021-43797

CVSS3: 6.5

debian

около 4 лет назад

Netty is an asynchronous event-driven network application framework fo ...

SUSE-SU-2022:2047-1

suse-cvrf

больше 3 лет назад

Security update for netty3

EPSS

Процентиль: 61%

0.00419

Низкий

6.5 Medium

CVSS3

7.8 High

CVSS2