io.netty Issues (CVE-2022-41881, CVE-2022-41915)

Die folgenden Sicherheitslücken werden von Dependency-Checks bei allen Versionen des jadice web toolkit < 5.11.24.57 gefunden:

• CVE-2022-41881 (medium / high)
• CVE-2022-41915 (medium)

Herkunft

Die CVEs kommen durch Spring Boot ins Produkt.

Auswirkungen

Die CVEs können zu folgendem Verhalten führen

• Absturz der Anwendung
• HTTP Response Splitting

Bewertung

CVE-2022-41915 ist nur Zutreffend, wenn ein Angreifer Zugriff auf den Source-Code der Anwendung hat und/oder zur Laufzeit eigenen Code ausführen kann (RCE), das Risiko ist daher gering. Wenn dies gelingt, können manipulierte HTTP-Header an einen Client ausgeliefert werden.

CVE-2022-41881 betrifft eine Klasse in netty, die von Spring jedoch nicht verwendet wird (HAProxyMessageDecoder)

Abhilfe

• Migration auf jadice web toolkit >= 5.12 (verfügbar seit 02/2023)
• Migration auf jadice web toolkit >= 5.11.24.57 (verfügbar seit 02/2023)

Quellen

• HAProxyMessageDecoder Stack Exhaustion DoS · Advisory · netty/netty (github.com)
• HTTP Response splitting from assigning header value iterator · Advisory · netty/netty (github.com)