io.netty Issues (CVE-2022-41881, CVE-2022-41915)

Die folgenden Sicherheitslücken werden von Dependency-Checks bei allen Versionen des jadice web toolkit < 5.11.24.57 gefunden:

Herkunft

Die CVEs kommen durch Spring Boot ins Produkt.

Auswirkungen

Die CVEs können zu folgendem Verhalten führen

Bewertung

not affected

CVE-2022-41915 ist nur Zutreffend, wenn ein Angreifer Zugriff auf den Source-Code der Anwendung hat und/oder zur Laufzeit eigenen Code ausführen kann (RCE), das Risiko ist daher gering. Wenn dies gelingt, können manipulierte HTTP-Header an einen Client ausgeliefert werden.

CVE-2022-41881 betrifft eine Klasse in netty, die von Spring jedoch nicht verwendet wird (HAProxyMessageDecoder)

Abhilfe

  • Migration auf jadice web toolkit >= 5.12 (verfügbar seit 02/2023)
  • Migration auf jadice web toolkit >= 5.11.24.57 (verfügbar seit 02/2023)


Quellen