Netty - это сетевая система приложений для разработки протокольных серверов и клиентов. В netty-codec-haproxy до версий 4.1.135.Final и 4.2…
Netty - это сетевая система приложений для разработки протокольных серверов и клиентов. В netty-codec-haproxy до версий 4.1.135.Final и 4.2.15.Final, при расшифровке PP2_TYPE_SSL TLV, HAProxyMessage.readNextTLV() сначала звонит `header.retainedSlice(header.readerIndex(), длина)` и только затем считывает поле 1-байт и 4-байт. Если злоумышленник устанавливает длину TLV ниже 5, последующий readByte/readInt бросает IndexOutOfBoundsException. HAProxyMessageDecoder улавливает HAProxyProtocolicception только вокруг этого звонка, поэтому IOOBE распространяется, а удерживаемый ломтик на объединенном буфере кумуляции никогда не выпускается. Версии 4.1.135.Финал и 4.2.15.Фондальный патч выпуск.
Программный продукт не предвидит надлежащим образом или не обрабатывает исключительные условия, редко возникающие в ходе нормальной эксплуатации.
https://cwe.mitre.org/data/definitions/703.html →Открыть в коллекции CWE →