Vert.x 4.3.7 发布,升级以修复 Netty 的安全漏洞


Eclipse Vert.x 版本 4.3.7 发布了,自 Vert.x 4.3.6 发布以来,已经报告了不少错误。项目团队很感谢大家报告这些问题。

该版本主要是更新 Netty 到 ​4.1.87.Final 版本,修复了如下两个安全问题:

  • CVE-2022-41881
  • CVE-2022-41915

Vert.x 不受 CVE-2022-41915 的影响,但其中提到的类被用于处理 HTTP 服务器请求和 HTTP 客户端响应,虽然也不用于将 Header 写入出站端点,但是用于从远端接口接收 HTTP 标头。

如果 TCP 服务器配置为接收 HA 代理流量,则 Vert.x 对 CVE-2022-41881 很敏感:服务器可以接收构建的 HA 代理前缀,该前缀会引发堆栈跟踪溢出,该溢出被 Vert.x 服务器捕获,并且 TCP 连接在服务器中保持原样,从而导致潜在的资源耗尽。它可以通过在服务器选项上设置超时来缓解,例如 options.setProxyProtocolTimeout(10),它会在 10 秒后关闭连接。我们还建议仅向受信任的 HA 代理实例公开此类服务器,而不是对外公开,此外,我们建议始终设置超时。

详细的发行说明请看 4.3.7 re­lease notes 


相關推薦

2022-12-23

语言开发而备受开发者青睐。 Eclipse Vert.x 版本 4.3.7 现已发布。自 Vert.x 4.3.6 发布以来,已经报告了很多错误;此版本更新到 Netty-4.1.87.Final,修复了两个 CVE: CVE-2022-41881 CVE-2022-41915 Vert.x 不受 CVE-2022-41915 的影响,因为提

2023-09-01

vertx-hazelcast vertx-hazelcast 使用的 hazelcast 4.2.8 存在高度安全漏洞 vertx-hazelcast 4.4.x 无法在未完全停止的情况下,从以前的版本中取消注册成员。 升级到 Hazelcast Platform 5.x vertx-micrometer-metrics 升级到 Micrometer 1.11.3 build(

2023-06-26

Eclipse Vert.x 4.4.4 已发布。 Vert.x 是一个微服务开发框架,基于事件和异步,依托于全异步 Java 服务器 Netty,并扩展了很多其他特性,以其轻量、高性能、支持多语言开发而备受开发者青睐。 主要更新内容: 升级到 Netty 4

2023-10-14

语言开发而备受开发者青睐。 Eclipse Vert.x 版本 4.4.6 现已发布,此版本修复了自 Vert.x 4.4.5 发布以来已经报告的一些错误。此外还披露了 CVE-2023-44487,这是一个会影响 HTTP/2 服务器的 bug。Vert.x 升级到 Netty 4.1.100.Final,

2023-03-31

语言开发而备受开发者青睐。 Eclipse Vert.x 版本 4.4.1 已经发布。自 Vert.x 4.4.0 发布以来已经报告了不少错误,项目团队对此表达了感谢。具体更新内容包括: vertx-web 升级到 GraphQL-Java 20.1 HttpServerRequest.formAttributes() 有多余的

2022-11-22

Eclipse Vert.x 4.3.5 已发布,可从 Maven Cen­tral 获取新版本。Vert.x 是一个微服务开发框架,基于事件和异步,依托于全异步 Java 服务器 Netty,并扩展了很多其他特性,以其轻量、高性能、支持多语言开发而备受开发者青睐

2023-06-09

语言开发而备受开发者青睐。 Eclipse Vert.x 版本 4.4.3 现已发布。自 Vert.x 4.4.2 发布以来已经报告了不少错误,项目团队对此表达了感谢。具体更新内容包括: vertx-jdbc-client 修复与 JDBC SQL 客户端的跟踪集成 vertx-web

2022-10-27

Eclipse Vert.x 3.9.14 已发布,可从 Maven Central 获取新版本。 公告写道,3.9 系列将在 2022 年底正式 EOL,因此建议开发者升级到 Vert.x 4。点此查看升级指南。 主要变化 vertx-health-check 修复处理安装在根路径 (/) 的子路由的

2023-05-13

语言开发而备受开发者青睐。 Eclipse Vert.x 版本 4.4.2 现已发布。自 Vert.x 4.4.1 发布以来已经报告了不少错误,项目团队对此表达了感谢。具体更新内容包括: vertx-web 为 GraphQLWSHandler 添加消息拦截 在 WebSocket BridgeEventT

2024-03-26

语言开发而备受开发者青睐。 Eclipse Vert.x 版本 4.5.6 现已发布,具体更新内容如下: vertx-web CORS:支持 Chrome 扩展 Origin.isValid() 错误地拒绝chrome-extension方案 ChainAuthHandler 不调用 post-authentication 方法 模板引擎文档改进 ve

2022-12-10

能、支持多语言开发而备受开发者青睐。 Vert.x 4.3.6 现已发布,此版本主要是修复在 4.3.5 中发现的错误。 vert.x 将 HTTP headers 和 response body 添加到 WebSocket upgrade rejected exception 支持服务器上 server name indication (sni) 的 SSL han

2024-03-29

语言开发而备受开发者青睐。 Eclipse Vert.x 版本 4.5.7 现已发布,修复了自 4.5.6 发布以来报告的大量错误,并包含了对 CVE-2024-29025 的修复。具体更新内容如下: vertx-web 让 body handler 正确记录解码器异常 vert

2023-04-06

Vert.x 4.4.1 发布了,该版本主要是一些小问题修复,以及升级了依赖包,详细内容如下: vertx-web Upgrade to GraphQL-Java 20.1 HttpServerRequest.formAttributes() has redundant /r vertx web deployed in spring boot, static resource can't be found in spring boot jar

2024-05-28

语言开发而备受开发者青睐。 Eclipse Vert.x 版本 4.5.8 现已发布,一些重点更新内容如下: Future expectation + HTTP response expectations 可以使用 HTTP/Web 客户端的新功能来促进 HTTP 交互,此新功能将使用基于新 expectation based API 取代