Bulletin d'alerte Debian

DSA-4597-1 netty -- Mise à jour de sécurité

Date du rapport :
3 janvier 2020
Paquets concernés :
netty
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 941266.
Dans le dictionnaire CVE du Mitre : CVE-2019-16869.
Plus de précisions :

Il a été signalé que Netty, un cadriciel client/serveur NIO en Java, est prédisposé à une vulnérabilité de dissimulation de requête HTTP en raison d'un mauvais traitement d'un espace avant les deux points dans des en-têtes HTTP.

Pour la distribution oldstable (Stretch), ce problème a été corrigé dans la version 1:4.1.7-2+deb9u1.

Pour la distribution stable (Buster), ce problème a été corrigé dans la version 1:4.1.33-1+deb10u1.

Nous vous recommandons de mettre à jour vos paquets netty.

Pour disposer d'un état détaillé sur la sécurité de netty, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/netty.