皇上,还记得我吗?我就是1999年那个Linux伊甸园啊-----24小时滚动更新开源资讯,全年无休!

Netty 4.1.135.Final发布

2026-06-03 分类:软件更新资讯 评论(0)

Netty 4.1.135.Final发布

我们强烈建议升级至此版本以获得以下安全修复:

  • CVE-2026-48059:内存耗尽(高)。io.netty:netty-codec-haproxy
  • CVE-2026-47691:DNS 缓存中毒(高频)。io.netty:netty-resolver-dns
  • CVE-2026-XXXXX:DDoS事件。io.netty:netty-codec-http2
  • CVE-2026-XXXXX:内存耗尽(高频)。io.netty:netty-codec-redis
  • CVE-2026-44250:内存耗尽(高频)。io.netty:netty-codec-redis
  • CVE-2026-44890:内存耗尽(高)。io.netty:netty-codec-redis
  • CVE-2026-44249:IPv6子网过滤器绕过(高频)。io.netty:netty-handler
  • CVE-2026-XXXXX:请求走私。io.netty:netty-codec-http
  • CVE-2026-44893:内存泄漏(高)。io.netty:netty-codec-haproxy
  • CVE-2026-XXXXX:TLS主机名验证在(高频)中意外被禁用。io.netty:netty-handler
  • CVE-2026-45673:DNS缓存中毒。io.netty:netty-resolver-dns
  • CVE-2026-45416:SNIHandler 在(高)中导致过多内存使用。io.netty:netty-handler
  • CVE-2026-45536:文件描述符泄漏 和 。io.netty:netty-transport-native-epollio.netty:netty-transport-native-kqueue
  • CVE-2026-45674:DNS缓存中毒(高)。io.netty:netty-resolver-dns
  • CVE-2026-46340:内存耗尽(高)。io.netty:netty-transport-sctp
  • CVE-2026-47244:拒绝服务记录。io.netty:netty-codec-http2
  • CVE-2026-48006:内存耗尽(高)。io.netty:netty-codec-redis
  • CVE-2026-48043:内存耗尽。io.netty:netty-codec-http2

其他重要变更如下:

  • MQTT:支持仅携带密码的MQTT 5连接请求 #16834
  • 通道初始化器(ChannelInitializer):修正exceptionCaught路由路径上误导性注释 #16847
  • HTTP/2:按照Vert.x的规则解析请求目标路径(4.1版本向后移植修复)#16856
  • 当仅允许开头的CRLF换行符时,HttpObjectDecoder会跳过任意开头控制字符 #16861
  • IP子网过滤器(IpSubnetFilter):正确处理IPv6地址 #16860
  • RedisArrayAggregator新增可配置的边界限制 #16858
  • Redis:限制解码后的数据长度 #16859
  • DNS:确保查询ID具备不可预测性 #16870
  • 包装普通信任管理器时默认静默关闭主机名验证 #16868
  • MQTT:拒绝携带非零剩余长度、格式错误的无负载数据包 #16852
  • HAProxy:拒绝格式错误TLV的HAProxy消息,同时避免内存泄漏 #16866
  • SSL:为客户端问候长度和超时设置合理的默认限制值 #16871
  • DNS:仅当CNAME属于查询域名的一部分时才对其缓存 #16873
  • HTTP/2:对异常客户端强制限制最大并发流数量 #16876
  • DNS:修复NS记录的围栏区域验证不充分问题 #16877
  • HTTP2:DelegatingDecompressorFrameListener需要在所有场景下正确释放内存 #16880
  • maxAllocation参数传入Brotli解码器和Zstd解码器(#16844)#16886
  • HTTP/2:将客户端声明的最大请求头列表大小视为参考值(而非强制限制)#16883
  • 为Zstd解码器新增maxWindowLog参数,限制内存分配上限 #16894
  • HAProxy:修复解析嵌套SSL类型-长度-值(TLV)时的字节缓冲区泄漏问题 #16881
  • Epoll / Kqueue:正确处理文件描述符的接收 #16872
  • SCTP:限制未完成的飞行中SCTP消息数量和分片数量 #16875
  • Redis:修复使用RedisArrayAggregator时,删除不完整消息后无法正确释放资源的问题 #16878
  • Redis:限制嵌套数组的最大数量 #16882

更多详情请参见完整的发布说明

转自 Netty.news:Netty 4.1.135.最终发布

相关推荐