CVE-2026-48040 in netty-incubator-codec-ohttp
要約
〜によって VulDB • 2026年06月05日
netty incubator codec.bhttp は、Java 言語のバイナリ HTTP パーサーです。このライブラリは、JNI を介して BoringSSL の HPKE C ライブラリを使用して、Oblivious HTTP (RFC 9458) を実装しています。暗号化操作のためにネイティブメモリアドレスを導出する際、バージョン 0.0.22.Final より前のバージョンは、`hasMemoryAddress()` を介してメモリアドレスを公開しない直接 ByteBuf に対するフォールバックパスを提供します。このフォールバックは、Netty に対して `sun.misc.Unsafe` が利用できない場合に発生します。例えば、JVM が `-Dio.netty.noUnsafe=true` で起動されている場合、SecurityManager が Unsafe へのアクセスを制限している場合、または非 HotSpot JVM で実行されている場合などです。これらの構成では、Netty のデフォルト `PooledByteBufAllocator` は、`hasMemoryAddress()` が false を返す `PooledDirectByteBuf` インスタンスを返します。有効な JVM 構成において、認証されていないネットワーク攻撃者は、作成された OHTTP リクエストで暗号化操作をトリガーすることにより、OHTTP ゲートウェイが他の同時接続に属するメモリを破損させ、隣接するプーリングされた直接バッファの内容を漏洩させることができます。この破損は、AEAD タグの検証が成功するかどうかに関わらず発生します。これは、BoringSSL が失敗時に出力バッファをゼロクリアするためです。情報漏洩の経路により、攻撃者は漏洩したデータを抽出するために必要な暗号化鍵を取得します。これは、同じ Netty バッファアリーナを共有するすべての接続の機密性と整合性を侵害します。バージョン 0.0.22.Final はこの問題を修正します。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.