注目github_advisory2026年6月9日1分

Netty HTTP/3 デフォルト設定の無制限ヘッダーサイズで DoS 脆弱性（CVE-2026-44892）

要約

NettyのHTTP/3コーデック「Http3ConnectionHandler」は、デフォルト設定でヘッダーサイズ上限が設定されていない。悪意あるクライアントが大量のHTTP/3ヘッダーを送信し続けることで、OutOfMemoryErrorによるメモリ枯渇・DoSが発生する。HTTP/1.1では8192バイト、HTTP/2でも独自の上限を設けているが、HTTP/3ではRFC 9114の「無制限」デフォルトに従ったままとなっていた。デフォルト設定に依存するアプリケーションが気づかずに脆弱な状態になる点が問題視されている。

あなたへの影響

NettyのHTTP/3機能を利用しているチームは、Http3Settingsで明示的にヘッダーサイズ上限を設定しているか早急に確認が必要。

推奨：パッチ未適用の場合は一時的な緩和策として上限値を手動で設定することを推奨。

詳細を読む → 元記事へ

X で共有

※ 本文は元記事をご確認ください (asayomu は要約のみ提供)