Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-00183

Опубликовано: 12 дек. 2022
Источник: fstec
CVSS3: 6.5
CVSS2: 6.4
EPSS Низкий

Описание

Уязвимость сетевого программного средства Netty связана с возникновением конфликта интерпретаций. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, раскрыть и модифицировать защищаемую информацию

Вендор

Novell Inc.
Сообщество свободного программного обеспечения
NetApp Inc.
Canonical Ltd.
ООО «Ред Софт»
АО "НППКТ"
Apache Software Foundation

Наименование ПО

OpenSUSE Leap
Debian GNU/Linux
OnCommand Workflow Automation
SnapCenter
Ubuntu
РЕД ОС
SUSE Linux Enterprise Server for SAP Applications
SUSE Enterprise Storage
SUSE Linux Enterprise High Performance Computing
Active IQ Unified Manager for Microsoft Windows
Active IQ Unified Manager for VMware vSphere
Suse Linux Enterprise Server
SANtricity Storage Plugin for vCenter
Suse Linux Enterprise Desktop
SUSE Manager Retail Branch Server
SUSE Manager Proxy
SUSE Manager Server
SUSE Linux Enterprise Module for Development Tools
SUSE Linux Enterprise Real Time
ОСОН ОСнова Оnyx
E-Series SANtricity Unified Manager and Web Services Proxy
SUSE Linux Enterprise Module for Package Hub
Active IQ Unified Manager for Linux
Cloud Insights Storage Workload Security Agent
netty

Версия ПО

15.5 (OpenSUSE Leap)
10 (Debian GNU/Linux)
- (OnCommand Workflow Automation)
- (SnapCenter)
20.04 LTS (Ubuntu)
16.04 ESM (Ubuntu)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
15.4 (OpenSUSE Leap)
15 SP3 (SUSE Linux Enterprise Server for SAP Applications)
7 (SUSE Enterprise Storage)
15 SP2 (SUSE Linux Enterprise Server for SAP Applications)
15 SP2-LTSS (SUSE Linux Enterprise High Performance Computing)
- (Active IQ Unified Manager for Microsoft Windows)
- (Active IQ Unified Manager for VMware vSphere)
15 SP4 (Suse Linux Enterprise Server)
- (SANtricity Storage Plugin for vCenter)
15 SP4 (Suse Linux Enterprise Desktop)
15 SP4 (SUSE Linux Enterprise Server for SAP Applications)
22.04 LTS (Ubuntu)
15 SP2-LTSS (Suse Linux Enterprise Server)
4.3 (SUSE Manager Retail Branch Server)
4.3 (SUSE Manager Proxy)
4.3 (SUSE Manager Server)
15 SP4 (SUSE Linux Enterprise High Performance Computing)
7.1 (SUSE Enterprise Storage)
15 SP4 (SUSE Linux Enterprise Module for Development Tools)
22.10 (Ubuntu)
15 SP3-LTSS (Suse Linux Enterprise Server)
15 SP3-ESPOS (SUSE Linux Enterprise High Performance Computing)
15 SP3-LTSS (SUSE Linux Enterprise High Performance Computing)
15 SP3 (SUSE Linux Enterprise Real Time)
до 2.7 (ОСОН ОСнова Оnyx)
15 SP5 (SUSE Linux Enterprise Server for SAP Applications)
15 SP5 (Suse Linux Enterprise Server)
15 SP5 (Suse Linux Enterprise Desktop)
15 SP5 (SUSE Linux Enterprise High Performance Computing)
15 SP5 (SUSE Linux Enterprise Module for Development Tools)
18.04 ESM (Ubuntu)
- (E-Series SANtricity Unified Manager and Web Services Proxy)
15 SP5 (SUSE Linux Enterprise Module for Package Hub)
- (Active IQ Unified Manager for Linux)
- (Cloud Insights Storage Workload Security Agent)
от 4.1.83 до 4.1.86 (netty)

Тип ПО

Операционная система
Прикладное ПО информационных систем
Сетевое средство
Сетевое программное средство

Операционные системы и аппаратные платформы

Novell Inc. OpenSUSE Leap 15.5
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Canonical Ltd. Ubuntu 20.04 LTS
Canonical Ltd. Ubuntu 16.04 ESM
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
Novell Inc. OpenSUSE Leap 15.4
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP2
Novell Inc. Suse Linux Enterprise Server 15 SP4
Novell Inc. Suse Linux Enterprise Desktop 15 SP4
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4
Canonical Ltd. Ubuntu 22.04 LTS
Novell Inc. Suse Linux Enterprise Server 15 SP2-LTSS
Canonical Ltd. Ubuntu 22.10
Novell Inc. Suse Linux Enterprise Server 15 SP3-LTSS
Novell Inc. SUSE Linux Enterprise Real Time 15 SP3
АО "НППКТ" ОСОН ОСнова Оnyx до 2.7
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP5
Novell Inc. Suse Linux Enterprise Server 15 SP5
Novell Inc. Suse Linux Enterprise Desktop 15 SP5
Canonical Ltd. Ubuntu 18.04 ESM

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Netty:
https://github.com/netty/netty/commit/fe18adff1c2b333acb135ab779a3b9ba3295a1c4
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-41915
Для Ubuntu:
https://ubuntu.com/security/notices/USN-6049-1
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-41915.html
Для программных продуктов NetApp Inc.:
https://security.netapp.com/advisory/ntap-20230113-0004/
Для ОСОН ОСнова Оnyx:
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.7/
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 40%
0.0018
Низкий

6.5 Medium

CVSS3

6.4 Medium

CVSS2

Связанные уязвимости

redos логотип

ROS-20240514-04

CVSS3: 7.5
redos
около 1 года назад

Множественные уязвимости netty

ubuntu логотип

CVE-2022-41915

CVSS3: 6.5
ubuntu
больше 2 лет назад

Netty project is an event-driven asynchronous network application framework. Starting in version 4.1.83.Final and prior to 4.1.86.Final, when calling `DefaultHttpHeadesr.set` with an _iterator_ of values, header value validation was not performed, allowing malicious header values in the iterator to perform HTTP Response Splitting. This issue has been patched in version 4.1.86.Final. Integrators can work around the issue by changing the `DefaultHttpHeaders.set(CharSequence, Iterator<?>)` call, into a `remove()` call, and call `add()` in a loop over the iterator of values.

nvd логотип

CVE-2022-41915

CVSS3: 6.5
nvd
больше 2 лет назад

Netty project is an event-driven asynchronous network application framework. Starting in version 4.1.83.Final and prior to 4.1.86.Final, when calling `DefaultHttpHeadesr.set` with an _iterator_ of values, header value validation was not performed, allowing malicious header values in the iterator to perform HTTP Response Splitting. This issue has been patched in version 4.1.86.Final. Integrators can work around the issue by changing the `DefaultHttpHeaders.set(CharSequence, Iterator<?>)` call, into a `remove()` call, and call `add()` in a loop over the iterator of values.

debian логотип

CVE-2022-41915

CVSS3: 6.5
debian
больше 2 лет назад

Netty project is an event-driven asynchronous network application fram ...

github логотип

GHSA-hh82-3pmq-7frp

CVSS3: 6.5
github
больше 2 лет назад

Netty vulnerable to HTTP Response splitting from assigning header value iterator

EPSS

Процентиль: 40%
0.0018
Низкий

6.5 Medium

CVSS3

6.4 Medium

CVSS2