| Title | Nettyにおけるデジタル署名の検証に関する脆弱性 |
|---|---|
| Summary | Nettyはプロトコルサーバーおよびクライアントの開発のためのネットワークアプリケーションフレームワークです。バージョン4.1.135.Finalおよび4.2.15.Final以前では、SimpleTrustManagerFactory.engineGetTrustManagers()および関連の経路で、ユーザー提供の単純なX509TrustManagerをX509ExtendedTrustManagerを継承するX509TrustManagerWrapperでラップしますが、このラッパーは3引数のcheckServerTrusted(chain, authType, SSLEngine)をSSLEngineを破棄して2引数のデリゲートを呼び出す形で実装しています。このオブジェクトがX509ExtendedTrustManagerであるため、SunJSSEの内部AbstractTrustManagerWrapperもNetty自身のOpenSslX509TrustManagerWrapperも再度ラップしてエンドポイント識別を追加しません。その結果、Netty 4.2ではデフォルトでendpointIdentificationAlgorithm="HTTPS"が設定されているにもかかわらず、`SslContextBuilder.forClient().trustManager(somePlainX509TrustManager)`で構築されたクライアントはホスト名検証を全く行いません。この問題はバージョン4.1.135.Finalおよび4.2.15.Finalで修正されました。 |
| Possible impacts | ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアは停止しません。 |
| Solution | ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | June 12, 2026, midnight |
| Registration Date | June 15, 2026, 6:36 p.m. |
| Last Update | June 15, 2026, 6:36 p.m. |
| CVSS3.0 : 重要 | |
| Score | 7.5 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
| Netty |
| Netty 4.1.135 未満 |
| Netty 4.2.0 以上 4.2.15 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年06月15日] 掲載 |
June 15, 2026, 6:36 p.m. |
| Summary | Netty is a network application framework for development of protocol servers and clients. Prior to versions 4.1.135.Final and 4.2.15.Final, SimpleTrustManagerFactory.engineGetTrustManagers() and related paths wrap any user-supplied plain X509TrustManager in X509TrustManagerWrapper, which extends X509ExtendedTrustManager but implements the 3-arg checkServerTrusted(chain, authType, SSLEngine) by discarding the SSLEngine and calling the 2-arg delegate. Because the object now IS an X509ExtendedTrustManager, neither SunJSSE's internal AbstractTrustManagerWrapper nor Netty's own OpenSslX509TrustManagerWrapper will re-wrap it to add endpoint-identification. Consequently, even though Netty 4.2 sets endpointIdentificationAlgorithm="HTTPS" by default, a client built with `SslContextBuilder.forClient().trustManager(somePlainX509TrustManager)` performs no hostname verification at all. Versions 4.1.135.Final and 4.2.15.Final patch the issue. |
|---|---|
| Publication Date | June 13, 2026, 1:16 a.m. |
| Registration Date | June 13, 2026, 4:17 a.m. |
| Last Update | June 15, 2026, 11:31 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:netty:netty:*:*:*:*:*:*:*:* | 4.1.135 | ||||
| cpe:2.3:a:netty:netty:*:*:*:*:*:*:*:* | 4.2.0 | 4.2.15 | |||