您现在的位置是：首页 > 文章详情

Vert.x 4.3.7 发布，升级以修复 Netty 的安全漏洞

日期：2022-12-24点击：314收藏

Eclipse Vert.x 版本 4.3.7 发布了，自 Vert.x 4.3.6 发布以来，已经报告了不少错误。项目团队很感谢大家报告这些问题。

该版本主要是更新 Netty 到 4.1.87.Final 版本，修复了如下两个安全问题：

Vert.x 不受 CVE-2022-41915 的影响，但其中提到的类被用于处理 HTTP 服务器请求和 HTTP 客户端响应，虽然也不用于将 Header 写入出站端点，但是用于从远端接口接收 HTTP 标头。

如果 TCP 服务器配置为接收 HA 代理流量，则 Vert.x 对 CVE-2022-41881 很敏感：服务器可以接收构建的 HA 代理前缀，该前缀会引发堆栈跟踪溢出，该溢出被 Vert.x 服务器捕获，并且 TCP 连接在服务器中保持原样，从而导致潜在的资源耗尽。它可以通过在服务器选项上设置超时来缓解，例如 options.setProxyProtocolTimeout（10），它会在 10 秒后关闭连接。我们还建议仅向受信任的 HA 代理实例公开此类服务器，而不是对外公开，此外，我们建议始终设置超时。

详细的发行说明请看 4.3.7 release notes

原文链接：https://www.oschina.net/news/222568/eclipse-vert-x-4-3-7

关注公众号

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。

持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

转载内容版权归作者及来源网站所有，本站原创内容转载请注明来源。