CVE-2026-42579Netty是一个异步事件驱动的网络应用框架。在4.2.13.Final和4.1.133.Final版本之前,Netty的DNS编解码器在编码或解码过程中未能强制执行RFC 1035域名约束。这导致了一个双向的攻击面:恶意的DNS响应可以利用解码器漏洞,同时受用户影响的主机名可以利用编码器漏洞。该问题已在上述版本中修复。
该漏洞的根源在于Netty的DNS编解码器(DnsCodec)在处理域名时未严格遵守RFC 1035标准。RFC 1035明确定义了域名的格式限制,包括每个标签最多63个字符,总长度不超过255个字符,以及允许的字符集。在受影响版本中,无论是编码器(Encoder)将主机名转换为DNS数据包,还是解码器(Decoder)解析DNS响应,都缺乏对这些约束的校验逻辑。攻击者可以利用这一点,构造包含超长标签或非法字符的恶意DNS响应包发送给目标,或者诱导应用程序使用受用户控制的畸形主机名发起DNS请求。这种双向的验证缺失可能导致应用程序崩溃、缓冲区溢出或绕过基于域名的访问控制,从而破坏数据的完整性。