io.netty Issues (CVE-2022-41881, CVE-2022-41915)
Die folgenden Sicherheitslücken werden von Dependency-Checks bei allen Versionen des jadice web toolkit < 5.11.24.57 gefunden:
CVE-2022-41881 (medium / high)
CVE-2022-41915 (medium)
Betroffene Produkte
| jadice web toolkit | jadice web viewer | jadice viewer (Swing) | Output Organizer | Dossier Organizer | jadice server 5 | jadice flow |
|---|---|---|---|---|---|---|---|
Betroffen |
|
|
|
|
|
|
|
Behoben |
|
|
|
|
|
|
|
Herkunft
Die CVEs kommen durch Spring Boot ins Produkt.
Auswirkungen
Die CVEs können zu folgendem Verhalten führen
Absturz der Anwendung
Bewertung
not affected |
CVE-2022-41915 ist nur Zutreffend, wenn ein Angreifer Zugriff auf den Source-Code der Anwendung hat und/oder zur Laufzeit eigenen Code ausführen kann (RCE), das Risiko ist daher gering. Wenn dies gelingt, können manipulierte HTTP-Header an einen Client ausgeliefert werden.
CVE-2022-41881 betrifft eine Klasse in netty, die von Spring jedoch nicht verwendet wird (HAProxyMessageDecoder)
Abhilfe
Migration auf jadice web toolkit >= 5.12 (verfügbar seit 02/2023)
Migration auf jadice web toolkit >= 5.11.24.57 (verfügbar seit 02/2023)