Netty 4.1.68.Final 发布,已支持 Apple Silicon 并修复两个漏洞

Netty 4.1.68.Final 已经发布。Netty 是一个异步事件驱动的网络应用框架,主要用于可维护的高性能协议服务器和客户端的快速开发。

这个版本包括两个与 Bzip2 和 Snappy 的压缩/解压有关的安全修复,所以建议尽快更新到这个版本。除此之外,还增加了对 M1 Mac 的支持。

重要的变化包括:

  • Bzip2Decoder 不允许为解压缩数据设置大小限制 ( #CVE-2021-37136)
  • SnappyFrameDecoder 不限制块长度,可能以不必要的方式缓冲可跳过的块 ( #CVE-2021-37137)
  • 使用本机 SSL 实现时遵循 jdk.tls.namedGroups ( #11660)
  • 添加对 m1 Mac 的支持 ( #11666)
  • 确保 HttpData#addContent/setContent 在抛出 IOException 之前释放缓冲区 ( #11621)
  • [HTTP2] 修复写入带有 padding 的空数据 frame 时的内存泄漏 ( #11633)
  • 在允许的算法列表中添加了 “RSASSA-PSS” 算法(#11626
  • 将 netty-tcnative* 的版本添加到 bom ( #11609)
  • SimpleChannelPool::notifyConnect 应该在发生异常时 tryFailure#11566 )
  • 使用基于 OpenSSL/BoringSSL 的 SSLEngine 时允许服务器启动重新协商 ( #11601)
  • 只有当 JDK 也支持 TLSv1.3 时才支持它 ( #11604)
  • 修复对 HttpContentCompressor 中可选编码器错误的支持 ( #11582)
  • 修复启用 TCP FastOpen 时 MacOS 上 IP 协议版本混乱的问题 ( #11588)
  • 修复 DatagramDnsQueryDecoder 中多次消耗缓冲区导致的 IndexOutOfBoundsException ( #11592)
  • 加入 multicast 组时使用 StandardSocketOptions#IP_MULTICAST_IF 作为默认源 ( #11585)
  • 确保我们仅在密码不是默认密码时才在 BoringSSL 上记录消息 ( #11583)

更多详情可查:https://netty.io/news/2021/09/09/4-1-68-Final.html

原创文章,作者:奋斗,如若转载,请注明出处:https://blog.ytso.com/150027.html

(0)
上一篇 2021年9月12日
下一篇 2021年9月12日

相关推荐

发表回复

登录后才能评论