ГлавнаяБаза уязвимостей БДУ → BDU:2022-00325
5высокая

BDU:2022-00325 (CVE-2020-72381)

Уязвимость заголовков Transfer-Encoding и Content-Length сетевого программного средства Netty, связанная с недостатком в интерпретации HTTP-запросов, позволяющая нарушителю оказать воздействие на целостность данных
Опубликовано: 2022-01-20
Описание

Уязвимость заголовков Transfer-Encoding и Content-Length сетевого программного средства Netty связана с недостатком в интерпретации HTTP-запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность данных

Затрагиваемое ПО и версии
Ubuntu (14.04 LTS)Ubuntu (16.04 LTS)Debian GNU/Linux (9)Debian GNU/Linux (8)Debian GNU/Linux (10)РЕД ОС (7.3)Astra Linux Special Edition (1.7)netty (до 4.1.43 включительно)ОСОН ОСнова Оnyx (до 2.1)EAP-CD (19 Tech Preview)Red Hat AMQ Clients (2.y for RHEL 6)Red Hat AMQ Clients (2.y for RHEL 7)Red Hat AMQ Clients (2.y for RHEL 8)Red Hat AMQ (7.4.3)Red Hat AMQ Online (1.3.3 GA)
Способ устранения

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:

Для Netty:
использование рекомендаций производителя: https://github.com/netty/netty/pull/9865

Для ОС Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2020-7238

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17

Для ОСОН Основа:
Обновление программного обеспечения netty до версии 1:4.1.33-1+deb10u2

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-7238

Для Ubuntu:
https://ubuntu.com/security/CVE-2020-7238

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл5 — высокая опасность
Источники и патчи
https://github.com/jdordonezn/CVE-2020-72381/issues/1https://github.com/netty/netty/issues/9861#issuecomment-582307539https://github.com/netty/netty/pull/9865https://nvd.nist.gov/vuln/detail/CVE-2020-7238https://security-tracker.debian.org/tracker/CVE-2020-7238https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.1/https://access.redhat.com/security/cve/cve-2020-7238
Проверьте безопасность своего сайта и почты → Полная проверка домена