io.netty Issues (CVE-2022-41881, CVE-2022-41915)
Die folgenden Sicherheitslücken werden von Dependency-Checks bei allen Versionen des jadice web toolkit < 5.11.24.57 gefunden:
- CVE-2022-41881 (medium / high)
- CVE-2022-41915 (medium)
Herkunft
Die CVEs kommen durch Spring Boot ins Produkt.
Auswirkungen
Die CVEs können zu folgendem Verhalten führen
- Absturz der Anwendung
- HTTP Response Splitting
Bewertung
not affected |
CVE-2022-41915 ist nur Zutreffend, wenn ein Angreifer Zugriff auf den Source-Code der Anwendung hat und/oder zur Laufzeit eigenen Code ausführen kann (RCE), das Risiko ist daher gering. Wenn dies gelingt, können manipulierte HTTP-Header an einen Client ausgeliefert werden.
CVE-2022-41881 betrifft eine Klasse in netty
, die von Spring jedoch nicht verwendet wird (HAProxyMessageDecoder)
Abhilfe
- Migration auf jadice web toolkit >= 5.12 (verfügbar seit 02/2023)
- Migration auf jadice web toolkit >= 5.11.24.57 (verfügbar seit 02/2023)