Netty 安全漏洞
| CNNVD-ID编号 | CNNVD-202102-612 | CVE编号 | CVE-2021-21290 |
| 发布时间 | 2021-02-08 | 更新时间 | 2021-02-18 |
| 漏洞类型 | 其他 | 漏洞来源 | N/A |
| 危险等级 | 中危 | 威胁类型 | 本地 |
| 厂商 | N/A | ||
漏洞介绍
Netty是Netty社区的一款非阻塞I/O客户端-服务器框架,它主要用于开发Java网络应用程序,如协议服务器和客户端等。
Netty 4.1.59之前版本存在安全漏洞,该漏洞源于当netty的多部分解码器被使用时,如果磁盘上的临时存储被启用,则本地信息可以通过本地系统临时目录进行公开。在类unix系统中,所有用户共享临时目录。因此,使用没有显式设置文件/目录权限的api写入该目录可能导致信息泄露。值得注意的是,这并不影响现代的MacOS操作系统。法”文件。createTempFile\"在类unix系统上创建一个随机文件,但默认情况下将创建这个文件,权限为\"-rw-r——r——\"。因此,如果将敏感信息写入该文件,其他本地用户就可以读取该信息。
漏洞补丁
目前厂商已发布升级了Netty 安全漏洞的补丁,Netty 安全漏洞的补丁获取链接:
https://github.com/netty/netty/commit/c735357bf29d07856ad171c6611a2e1a0e0000ec
参考网址
来源:MLIST
链接:https://lists.debian.org/debian-lts-announce/2021/02/msg00016.html
来源:MISC
链接:https://github.com/netty/netty/commit/c735357bf29d07856ad171c6611a2e1a0e0000ec
来源:CONFIRM
链接:https://github.com/netty/netty/security/advisories/GHSA-5mcr-gq6c-3hq2
来源:access.redhat.com
链接:https://access.redhat.com/security/cve/cve-2021-21290
来源:vigilance.fr
链接:https://vigilance.fr/vulnerability/Netty-information-disclosure-via-Temporary-File-34567
来源:nvd.nist.gov
链接:https://nvd.nist.gov/vuln/detail/CVE-2021-21290
受影响实体
暂无
信息来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202102-612
评论