Vert.x 4.3.7 发布，升级以修复 Netty 的安全漏洞-低调大师

Vert.x 4.3.7 发布，升级以修复 Netty 的安全漏洞

2022-12-24 410

Eclipse Vert.x 版本 4.3.7 发布了，自 Vert.x 4.3.6 发布以来，已经报告了不少错误。项目团队很感谢大家报告这些问题。

该版本主要是更新 Netty 到 4.1.87.Final 版本，修复了如下两个安全问题：

Vert.x 不受 CVE-2022-41915 的影响，但其中提到的类被用于处理 HTTP 服务器请求和 HTTP 客户端响应，虽然也不用于将 Header 写入出站端点，但是用于从远端接口接收 HTTP 标头。

如果 TCP 服务器配置为接收 HA 代理流量，则 Vert.x 对 CVE-2022-41881 很敏感：服务器可以接收构建的 HA 代理前缀，该前缀会引发堆栈跟踪溢出，该溢出被 Vert.x 服务器捕获，并且 TCP 连接在服务器中保持原样，从而导致潜在的资源耗尽。它可以通过在服务器选项上设置超时来缓解，例如 options.setProxyProtocolTimeout（10），它会在 10 秒后关闭连接。我们还建议仅向受信任的 HA 代理实例公开此类服务器，而不是对外公开，此外，我们建议始终设置超时。

详细的发行说明请看 4.3.7 release notes

微信关注我们

原文链接：https://www.oschina.net/news/222568/eclipse-vert-x-4-3-7

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

国产 c++ web framework “paozhu”1.0.5 正式版发布

经过大半个月测试修改，paozhu c++ web framework 正式版发布， 1.0.5 release 官方第一次发布正式版，可以用于生产环境。易用性超越国外各种c++ web framework，简单易用，开箱即用web生态支持，新手可以快速入门。 Paozhu(炮竹🧨)是一个全面、快速的C++ web framework 开发框架，集成mysql ORM，开发速度跟脚本语言一样，框架集成了webserver，自己原生解析http1.1、http2协议，GET、POST全部解析出来，POST几种方式都做了区分，框架自带一个OBJ微型对象，可以存放char int string float等，框架自动解析URL、POST参数到微型对象里面，使用urlpath映射到函数挂载点，使用协程、线程池、数据库链接池。 QQ群：668296235 与社区开发者探讨C++ WEB开发的乐趣 1.特性🔥🔥🔥🔥🔥 ✅ 1. 自带json 编解码不用第三方库，标准json支持 ✅ 2. 支持多域名网站 ✅ 3. 支持多域名ssl 服务端 ✅ 4. 支持http1.1、http2...

2022-12-24

439

漏洞描述 ThinkPHP Framework 是一个开源的、面向对象的轻量级 PHP 开发框架，用于简化企业级应用和 Web 应用开发。 ThinkPHP Framework 的受影响版本中由于 LoadLangPack#handle 方法没有对 langset 参数进行过滤，且用于加载语言的 Lang.php#load 函数没有对用户传入的文件名参数中的特殊字符（如 ../）进行转义，导致 ThinkPHP 在检测用户语言时存在目录穿越和文件包含漏洞。当用户开启多语言功能时（如：'lang_switch_on'=> true），攻击者可通过在请求中的 header 、cookie 或 query string 参数中注入 payload 进行目录穿越攻击，并通过 pearcmd 文件包含远程执行 webshell 等恶意代码。漏洞名称 ThinkPHP Framework 存在远程代码执行漏洞漏洞类型代码注入发现时间 2022-12-24 漏洞影响广度小 MPS编号 MPS-2022-69505 CVE编号 CVE-2022-47945 CNVD编号 - 影响范围 ...

2022-12-24

484

资源下载

更多资源

优质分享App

近一个月的开发和优化，本站点的第一个app全新上线。该app采用极致压缩，本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。