| Title | Nettyにおける通信チャネルの送信元の不適切な検証に関する脆弱性 |
|---|---|
| Summary | Nettyは、プロトコルサーバーおよびクライアントの開発のためのネットワークアプリケーションフレームワークです。NoQuicTokenHandlerは、アプリケーションがトークンハンドラーを設定しない場合に使用されるtokenHandlerです。バージョン4.2.15.Final以前では、そのwriteToken()はfalseを返し(サーバーはRetryを送信しない—許容される)、validateToken()は無条件に`return 0`を返していました。QuicheQuicServerCodec.handlePacket()では、validateToken()からの0以上の返り値が「トークンは有効で、ODCIDがオフセット0から始まる」と解釈され、サーバーはクライアントのアドレスがRetryラウンドトリップによって検証されたかのようにquiche_acceptを呼び出します。RFC 9000 §8.1によると、検証されたアドレスは3倍のアンチアンプリフィケーション送信制限を解除します。したがって、攻撃者が初期パケットに任意の非空トークンバイトを含めて被害者の送信元IPを偽装し送信すると、Nettyサーバーは被害者を検証済みとみなして3倍の制限なしにフルサイズのハンドシェイクフライト(証明書など)を反射します。正しい「トークンなしハンドラー」の意味は、-1(無効)を返して通常の未検証パスとアンプリフィケーション制限を適用することです。この問題はバージョン4.2.15.Finalで修正されました。 |
| Possible impacts | ・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 |
| Solution | ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | June 12, 2026, midnight |
| Registration Date | June 15, 2026, 6:37 p.m. |
| Last Update | June 15, 2026, 6:37 p.m. |
| CVSS3.0 : 重要 | |
| Score | 7.5 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
| Netty |
| Netty 4.2.0 以上 4.2.15 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年06月15日] 掲載 |
June 15, 2026, 6:37 p.m. |
| Summary | Netty is a network application framework for development of protocol servers and clients. NoQuicTokenHandler is the tokenHandler used when the application does not set one. Prior to version 4.2.15.Final, its writeToken() returns false (server will not send Retry — acceptable), but validateToken() unconditionally `return 0`. In QuicheQuicServerCodec.handlePacket(), a non-negative return from validateToken() is interpreted as 'token is valid, ODCID starts at offset 0', causing the server to call quiche_accept as if the client's address had been validated by a Retry round-trip. Per RFC 9000 §8.1, a validated address lifts the 3× anti-amplification send limit. Thus any attacker who includes ANY non-empty token bytes in an Initial packet — with a spoofed victim source IP — causes the Netty server to treat the victim as validated and reflect full-size handshake flights (certificates, etc.) toward it without the 3× cap. The correct 'no token handler' semantics would be to return -1 (invalid) so the normal un-validated path and amplification limit apply. Version 4.2.15.Final patches the issue. |
|---|---|
| Publication Date | June 13, 2026, 12:16 a.m. |
| Registration Date | June 13, 2026, 4:17 a.m. |
| Last Update | June 15, 2026, 11:23 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:netty:netty:*:*:*:*:*:*:*:* | 4.2.0 | 4.2.15 | |||