Habr 25+Mar 3

Бойтесь буквы «M». Самый странный баг в моей жизни

Вечером в пятницу коллега, назовем его Мститель, спросил, не сталкивался ли я с проблемой, что route возвращает 400... но «если сменить название на сильно другое», то всё ок. Я сперва не обратил внимание на слово «сильно». Может быть, где-то дублируется регистрация этого рута? Или мститель перепутал GET и POST. Или какой-то баг в общем на создание хэндлеров? Милости просим

https://habr.com/ru/articles/1006164/?utm_source=habrahabr&utm_medium=rss&utm_campaign=1006164

#java #netty #bug #биты #long #побитовые_операторы #сдвиг #backend #verification #баги

Бойтесь буквы «M». Самый странный баг в моей жизни

Вечером в пятницу коллега, назовем его Мститель, спросил, не сталкивался ли я с проблемой, что route возвращает 400... но «если сменить название на сильно другое», то всё ок. Я сперва не обратил...

Хабр
HabrMar 3

Бойтесь буквы «M». Самый странный баг в моей жизни

Вечером в пятницу коллега, назовем его Мститель, спросил, не сталкивался ли я с проблемой, что route возвращает 400... но «если сменить название на сильно другое», то всё ок. Я сперва не обратил внимание на слово «сильно». Может быть, где-то дублируется регистрация этого рута? Или мститель перепутал GET и POST. Или какой-то баг в общем на создание хэндлеров? Милости просим

https://habr.com/ru/articles/1006164/

#java #netty #bug #биты #long #побитовые_операторы #сдвиг #backend #verification #баги

Бойтесь буквы «M». Самый странный баг в моей жизни

Вечером в пятницу коллега, назовем его Мститель, спросил, не сталкивался ли я с проблемой, что route возвращает 400... но «если сменить название на сильно другое», то всё ок. Я сперва не обратил...

Хабр
ChrisFeb 17

#Netty joined the GitHub Secure OSS Fund.
Most immediate impact for us is that we reviewed our project security settings, e.g. we now enforce that all maintainers have 2FA.
We also formalized our incident response plan and threat model.
There's still more we want to do in this area, but the missing pieces are clearer and more concrete.

https://github.blog/open-source/maintainers/securing-the-ai-software-supply-chain-security-results-across-67-open-source-projects/

Securing the AI software supply chain: Security results across 67 open source projects

The GitHub Secure Open Source Fund helped 67 critical AI‑stack projects accelerate fixes, strengthen ecosystems, and advance open source resilience.

The GitHub Blog
Show threadChrisFeb 6
We've also released #Netty 4.1.131 with bug fixes: https://netty.io/news/2026/02/06/4-1-131-Final.html
Netty.news: Netty 4.1.131.Final released

ChrisFeb 5
We've released #Netty 4.2.10 with many bug fixes and improvements: https://netty.io/news/2026/02/05/4-2-10.html #java
Netty.news: Netty 4.2.10.Final released

ChrisJan 12

RE: https://mastodon.social/@openjdk/115883872388466410

If you use recent #Netty with BoringSSL, you already have this feature: having X25519MLKEM768 enabled by default for TLSv1.3.

ChrisDec 17
If you didn't know, #Netty 4.2.8 and newer enable the X25519MLKEM768 post-quantum key agreement protocol by default when using BoringSSL or AWS-LC. This prevents harvest-now-decrypt-later attacks, for TLS connections where the peer also supports this protocol. Thanks to protocol negotiation in TLS, this enablement is portable and backwards compatible.
Reference: https://github.com/netty/netty/pull/15830
Enable X25519MLKEM768 by default for BoringSSL/AWS-LC by chrisvest · Pull Request #15830 · netty/netty

Motivation: The most urgent priority in post-quantum cryptography readiness, is protecting the ephemeral session keys in TLS, because these are vulnerable to harvest-now-decrypt-later attacks. Than...

GitHub
ChrisDec 15

We've released Netty 4.2.9 and 4.1.130.

They fix CVE-2025-67735 (https://github.com/netty/netty/security/advisories/GHSA-84h7-rjj3-6jx4), which is a line break injection vulnerability when encoding HTTP request objects.

The fix introduced a regression we had to fix as well, so versions 4.2.8 and 4.1.129 are skipped.

https://netty.io/news/2025/12/15/4-2-9.html
https://netty.io/news/2025/12/15/4-2-8.html
https://netty.io/news/2025/12/15/4-1-130-Final.html
https://netty.io/news/2025/12/15/4-1-129-Final.html

#netty #java

CRLF injection vulnerability in io.netty.handler.codec.http.HttpRequestEncoder

### Summary The `io.netty.handler.codec.http.HttpRequestEncoder` CRLF injection with the request uri when constructing a request. This leads to request smuggling when `HttpRequestEncoder` is use...

GitHub
CyberNetsecIOOct 24

📰 Critical Netty Zero-Day Bypasses All Major Email Authentication

🚨 CRITICAL Zero-Day in Netty (CVE-2025-59419) allows attackers to bypass SPF, DKIM & DMARC. The SMTP injection flaw enables perfect email spoofing. Patch immediately! #CVE #Netty #EmailSecurity #ZeroDay

🔗 https://cyber.netsecops.io/articles/critical-zero-day-in-netty-library-allows-email-auth-bypass/?utm_source=mastodon&utm_medium=social&utm_campaign=twitter_auto&utm_content=v1761150863

Critical Netty Zero-Day Bypasses All Major Email Authentication

A critical zero-day vulnerability, CVE-2025-59419, in the Netty Java library allows SMTP injection to bypass SPF, DKIM, and DMARC, enabling attackers to send perfectly spoofed emails. Patch now.

CyberNetSec.io
Offensive SequenceOct 22
CRITICAL: CVE-2025-59419 is a Netty zero-day letting attackers bypass email auth (DMARC, DKIM, SPF). Major risk for EU orgs using Java/Netty for email. No exploits yet—patch & monitor! https://radar.offseq.com/threat/casting-a-netty-for-bugs-and-catching-a-big-one-cv-7990ce9a #OffSeq #Netty #EmailSecurity #ZeroDay