CVE-2025-24970
SslHandler doesn't correctly validate packets which can lead to native crash when using native SSLEngine
En resumen
El SslHandler de Netty no valida correctamente paquetes especialmente diseñados, causando el bloqueo de la aplicación al usar motores SSL nativos. Esto afecta a los sistemas que utilizan Netty para comunicación segura en red.
Detalle técnico
Un fallo de validación en el SslHandler de Netty (versiones 4.1.91.Final a 4.1.117.Final) permite que un atacante envíe un paquete SSL/TLS malformado que elude las comprobaciones de validación, provocando un crash nativo en la biblioteca OpenSSL subyacente cuando SSLEngine nativo está habilitado. El ataque requiere acceso a la red para enviar el paquete fabricado y resulta en denegación de servicio.
Resumen generado y traducido por IA a partir de la descripción oficial.
Netty, an asynchronous, event-driven network application framework, has a vulnerability starting in version 4.1.91.Final and prior to version 4.1.118.Final. When a special crafted packet is received via SslHandler it doesn't correctly handle validation of such a packet in all cases which can lead to a native crash. Version 4.1.118.Final contains a patch. As workaround its possible to either disable the usage of the native SSLEngine or change the code manually.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Productos afectados
netty · netty¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
https://github.com/netty/netty/commit/87f40725155b2f89adfde68c7732f97c153676c4https://github.com/netty/netty/security/advisories/GHSA-4g8c-wm8x-jfhwhttps://security.netapp.com/advisory/ntap-20250221-0005/https://www.vicarius.io/vsociety/posts/cve-2025-24970-netty-vulnerability-detectionhttps://www.vicarius.io/vsociety/posts/cve-2025-24970-netty-vulnerability-mitigation