【漏洞通告】Apache MINA拒绝服务漏洞 (CVE-2021-41973)

发布时间 2021-11-02

0x00 漏洞概述

CVE     ID

CVE-2021-41973

时      间

2021-11-01

类      型

Dos

等      级

高危

远程利用


影响范围


攻击复杂度


可用性


用户交互


所需权限


PoC/EXP


在野利用


 

0x01 漏洞详情

image.png

Apache MINA 是一个网络应用框架,可以帮助用户轻松开发高性能、高扩展性的网络应用。它通过 Java NIO 在 TCP/IP 和 UDP/IP 等各种传输上提供抽象的事件驱动异步 API。

2021年11月1日,Apache发布安全公告,修复了Apache MINA中的一个拒绝服务漏洞(CVE-2021-41973)。

在Apache MINA中,恶意制作的格式错误的HTTP请求可能导致HTTP Header解码器无限循环。解码器假定HTTP头从缓冲区的开头开始,如果有比预期更多的数据就会循环。

 

影响范围

Apache MINA < 2.1.5

Apache MINA < 2.0.22

 

0x02 处置建议

目前此漏洞已经修复,建议将Apache MINA 更新到2.0.22、 2.1.5或更高版本。

下载链接:

https://mina.apache.org/downloads-mina_2_0.html

 

0x03 参考链接

http://mail-archives.apache.org/mod_mbox/www-announce/202111.mbox/%3CCAG8=FRgUymSxuEoHDaQSAc7G4i+_uMivwenKN3U=hfrRESo0Sw@mail.gmail.com%3E

https://lists.apache.org/thread/r0b907da9340d5ff4e6c1a4798ef4e79700a668657f27cca8a39e9250@%3cdev.mina.apache.org%3e

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-41973

 

0x04 更新版本

版本

日期

修改内容

V1.0

2021-11-02

首次发布

 

0x05 关于大家

企业概况

澳门浦京娱乐场企业成立于1996年,并于2010年6月23日在深交所中小板正式挂牌上市,是国内最具实力的信息安全产品和安全管理平台、安全服务与解决方案的领航企业之一。

企业总部位于北京市中关村App园,在全国各省、市、自治区设立分支机构六十多个,拥有覆盖全国的销售体系、渠道体系和技术支撑体系;并在华北、华东、西南和华南布局四大研发中心,分别为北京研发总部、上海研发中心、成都研发中心和广州研发中心。

多年来,澳门浦京娱乐场致力于提供具有国际竞争力的自主创新的安全产品和最佳实践服务,帮助客户全面提升其IT基础设施的安全性和生产效能,为打造和提升国际化的民族信息安全产业领军品牌而不懈努力。

 

关于大家

澳门浦京娱乐场安全应急响应中心主要针对重要安全漏洞的预警、跟踪和分享全球最新的威胁情报和安全报告。

关注以下公众号,获取全球最新安全资讯:

image.png