Netty 漏洞,建议大家升级netty至 4.1.42.Final版本

网友投稿 502 2022-11-10

近日Netty 4.x版本爆出了CVE-2019-16869漏洞.详情见这里:4.1.42.Final版本即可.具体的行为如下:request smuggling, cause by obfuscating TE header`Expected behaviorignore obfuscating TE header("Transfer-Encoding : chunked" vs "Transfer-Encoding: chunked")

Actual behavioruse Transfer-Encoding[space] as Transfer-Encoding

Steps to reproduce1、topology: client→elb→nettyServer2、client send a request with both content-length and trunked-encoded[space]3、elb ignored trunked-encoded[space], but use content-length4、netty use trunked-encoded[space]

Minimal yet complete reproducer code (or URL to code)when header field end with space but not colon, shoud the space be ignored?can not found proof in in io.netty.handler.codec.(nameEnd = nameStart; nameEnd < length; nameEnd ++) {char ch = sb.charAt(nameEnd);if (ch == ':' || Character.isWhitespace(ch)) {break;}}Netty versionall

JVM version (e.g. java -version)OS version (e.g. uname -a)`

标签：java

暂时没有评论，来抢沙发吧~

Netty 漏洞,建议大家升级netty至 4.1.42.Final版本

java怎么拦截某个对象

swing可视化界面怎么使用

java上下页翻转功能怎么实现

推荐文章

api接口有哪几种分类及功能

什么是API接口?API接口简单介绍

短信API接口概述，短信API接口的优势

7款快递物流的物流查询API工具，物流快递查询API接口怎么对接？

企业四要素: 了解企业经营成功的关键

什么是语音验证码?,语音验证码平台有哪些

全国工商查询系统怎么查企业名录

哪些平台提供实名认证的接口？

PHP如何调用API接口?

如何使用百度天气预报API接口?

最近发表

热评文章

数据接口api（数据接口API开发平台）

数据开放接口api（数据服务api开发）

Python爬虫教程：爬取酷狗音乐（python爬取

hbuilder怎么更改字体大小和颜色

直播平台api接口 - 构建卓越的直播平台

实时股票数据api接口（股票实时行情api接口）