CVE-2025-24970
SslHandler doesn't correctly validate packets which can lead to native crash when using native SSLEngine
Em resumo
O SslHandler do Netty não valida corretamente pacotes especialmente criados, causando travamento da aplicação ao usar motores SSL nativos. Isso afeta sistemas que usam Netty para comunicação segura pela rede.
Detalhe técnico
Uma falha na validação de entrada do SslHandler do Netty (versões 4.1.91.Final a 4.1.117.Final) permite que um atacante envie um pacote SSL/TLS malformado que ultrapassa verificações, provocando crash nativo na biblioteca OpenSSL subjacente quando SSLEngine nativo está ativo. O ataque requer acesso à rede para enviar o pacote fabricado e resulta em negação de serviço.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Netty, an asynchronous, event-driven network application framework, has a vulnerability starting in version 4.1.91.Final and prior to version 4.1.118.Final. When a special crafted packet is received via SslHandler it doesn't correctly handle validation of such a packet in all cases which can lead to a native crash. Version 4.1.118.Final contains a patch. As workaround its possible to either disable the usage of the native SSLEngine or change the code manually.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Produtos afetados
netty · nettyQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://github.com/netty/netty/commit/87f40725155b2f89adfde68c7732f97c153676c4https://github.com/netty/netty/security/advisories/GHSA-4g8c-wm8x-jfhwhttps://security.netapp.com/advisory/ntap-20250221-0005/https://www.vicarius.io/vsociety/posts/cve-2025-24970-netty-vulnerability-detectionhttps://www.vicarius.io/vsociety/posts/cve-2025-24970-netty-vulnerability-mitigation