Eclipse Vert.x 版本 4.3.7 发布了,自 Vert.x 4.3.6 发布以来,已经报告了不少错误。项目团队很感谢大家报告这些问题。
该版本主要是更新 Netty 到 4.1.87.Final 版本,修复了如下两个安全问题:
- CVE-2022-41881
- CVE-2022-41915
Vert.x 不受 CVE-2022-41915 的影响,但其中提到的类被用于处理 HTTP 服务器请求和 HTTP 客户端响应,虽然也不用于将 Header 写入出站端点,但是用于从远端接口接收 HTTP 标头。
如果 TCP 服务器配置为接收 HA 代理流量,则 Vert.x 对 CVE-2022-41881 很敏感:服务器可以接收构建的 HA 代理前缀,该前缀会引发堆栈跟踪溢出,该溢出被 Vert.x 服务器捕获,并且 TCP 连接在服务器中保持原样,从而导致潜在的资源耗尽。它可以通过在服务器选项上设置超时来缓解,例如 options.setProxyProtocolTimeout(10),它会在 10 秒后关闭连接。我们还建议仅向受信任的 HA 代理实例公开此类服务器,而不是对外公开,此外,我们建议始终设置超时。
详细的发行说明请看 4.3.7 release notes