ChrisWe've released Netty 4.2.12.Final. This fixes a regression introduced in 4.2.11.Final, in the CompositeByteBuf implementation.
Release notes: https://netty.io/news/2026/03/24/4-2-12-Final.html
#netty #java
We're released Netty 4.2.11 and 4.1.132. These contain many bug fixes, and fixes for two CVEs both rated *high*:
- CVE-2026-33871: HTTP/2 CONTINUATION frame flood Denial of Service.
- CVE-2026-33870: HTTP/1.1 Request Smuggling vulnerability in chunked encoding parsing.
Release notes for 4.2.11: https://netty.io/news/2026/03/24/4-2-11-Final.html
Release notes for 4.1.132: https://netty.io/news/2026/03/24/4-1-132-Final.html
Also of note: We had 17 people contribute to Netty 4.2.11, of which 5 are new first time contributors 😲
Habr 25+Бойтесь буквы «M». Самый странный баг в моей жизни
Вечером в пятницу коллега, назовем его Мститель, спросил, не сталкивался ли я с проблемой, что route возвращает 400... но «если сменить название на сильно другое», то всё ок. Я сперва не обратил внимание на слово «сильно». Может быть, где-то дублируется регистрация этого рута? Или мститель перепутал GET и POST. Или какой-то баг в общем на создание хэндлеров? Милости просим
https://habr.com/ru/articles/1006164/?utm_source=habrahabr&utm_medium=rss&utm_campaign=1006164
#java #netty #bug #биты #long #побитовые_операторы #сдвиг #backend #verification #баги
HabrБойтесь буквы «M». Самый странный баг в моей жизни
Вечером в пятницу коллега, назовем его Мститель, спросил, не сталкивался ли я с проблемой, что route возвращает 400... но «если сменить название на сильно другое», то всё ок. Я сперва не обратил внимание на слово «сильно». Может быть, где-то дублируется регистрация этого рута? Или мститель перепутал GET и POST. Или какой-то баг в общем на создание хэндлеров? Милости просим
https://habr.com/ru/articles/1006164/
#java #netty #bug #биты #long #побитовые_операторы #сдвиг #backend #verification #баги
#Netty joined the GitHub Secure OSS Fund.
Most immediate impact for us is that we reviewed our project security settings, e.g. we now enforce that all maintainers have 2FA.
We also formalized our incident response plan and threat model.
There's still more we want to do in this area, but the missing pieces are clearer and more concrete.
We've also released #Netty 4.1.131 with bug fixes: https://netty.io/news/2026/02/06/4-1-131-Final.html
We've released #Netty 4.2.10 with many bug fixes and improvements: https://netty.io/news/2026/02/05/4-2-10.html #java
RE: https://mastodon.social/@openjdk/115883872388466410
If you use recent #Netty with BoringSSL, you already have this feature: having X25519MLKEM768 enabled by default for TLSv1.3.
If you didn't know, #Netty 4.2.8 and newer enable the X25519MLKEM768 post-quantum key agreement protocol by default when using BoringSSL or AWS-LC. This prevents harvest-now-decrypt-later attacks, for TLS connections where the peer also supports this protocol. Thanks to protocol negotiation in TLS, this enablement is portable and backwards compatible.
Reference: https://github.com/netty/netty/pull/15830
Reference: https://github.com/netty/netty/pull/15830
Enable X25519MLKEM768 by default for BoringSSL/AWS-LC by chrisvest · Pull Request #15830 · netty/netty
Motivation: The most urgent priority in post-quantum cryptography readiness, is protecting the ephemeral session keys in TLS, because these are vulnerable to harvest-now-decrypt-later attacks. Than...
We've released Netty 4.2.9 and 4.1.130.
They fix CVE-2025-67735 (https://github.com/netty/netty/security/advisories/GHSA-84h7-rjj3-6jx4), which is a line break injection vulnerability when encoding HTTP request objects.
The fix introduced a regression we had to fix as well, so versions 4.2.8 and 4.1.129 are skipped.
https://netty.io/news/2025/12/15/4-2-9.html
https://netty.io/news/2025/12/15/4-2-8.html
https://netty.io/news/2025/12/15/4-1-130-Final.html
https://netty.io/news/2025/12/15/4-1-129-Final.html
