home.social

#netty — Public Fediverse posts

Live and recent posts from across the Fediverse tagged #netty, aggregated by home.social.

  1. We've released #Netty 4.2.13.Final and 4.1.133.Final, fixing 13 CVEs (http, http2, http3, compression, dns, mqtt, proxy, redis) and a number of bugs:
    * netty.io/news/2026/05/04/4-2-1
    * netty.io/news/2026/05/04/4-1-1

  2. We will do a #Netty release sometime in a few days, late this week or early next week. It will fix many security issues; more than usual. Be prepared to update.

  3. WebFlux vs Virtual Threads: что происходит при 2000 RPS

    Всем привет! Меня зовут Александр, и сегодня я расскажу о результатах перевода учебного проекта со Spring WebFlux и Netty на Spring MVC и Tomcat с виртуальными потоками и проверки обоих вариантов под нагрузкой в 2000rps. В качестве подопытного будет выступать система микросервисов, разработанная в рамках курса CloudJava .

    habr.com/ru/articles/1024936/

    #Java #virtual_threads #webflux #springboot #netty #tomcat

  4. We've released Netty 4.2.12.Final. This fixes a regression introduced in 4.2.11.Final, in the CompositeByteBuf implementation.

    Release notes: netty.io/news/2026/03/24/4-2-1
    #netty #java

  5. We're released Netty 4.2.11 and 4.1.132. These contain many bug fixes, and fixes for two CVEs both rated *high*:

    - CVE-2026-33871: HTTP/2 CONTINUATION frame flood Denial of Service.
    - CVE-2026-33870: HTTP/1.1 Request Smuggling vulnerability in chunked encoding parsing.

    Release notes for 4.2.11: netty.io/news/2026/03/24/4-2-1
    Release notes for 4.1.132: netty.io/news/2026/03/24/4-1-1

    Also of note: We had 17 people contribute to Netty 4.2.11, of which 5 are new first time contributors 😲

    #netty #java

  6. Бойтесь буквы «M». Самый странный баг в моей жизни

    Вечером в пятницу коллега, назовем его Мститель, спросил, не сталкивался ли я с проблемой, что route возвращает 400... но «если сменить название на сильно другое», то всё ок. Я сперва не обратил внимание на слово «сильно». Может быть, где-то дублируется регистрация этого рута? Или мститель перепутал GET и POST. Или какой-то баг в общем на создание хэндлеров? Милости просим

    habr.com/ru/articles/1006164/

    #java #netty #bug #биты #long #побитовые_операторы #сдвиг #backend #verification #баги

  7. Бойтесь буквы «M». Самый странный баг в моей жизни

    Вечером в пятницу коллега, назовем его Мститель, спросил, не сталкивался ли я с проблемой, что route возвращает 400... но «если сменить название на сильно другое», то всё ок. Я сперва не обратил внимание на слово «сильно». Может быть, где-то дублируется регистрация этого рута? Или мститель перепутал GET и POST. Или какой-то баг в общем на создание хэндлеров? Милости просим

    habr.com/ru/articles/1006164/

    #java #netty #bug #биты #long #побитовые_операторы #сдвиг #backend #verification #баги

  8. Бойтесь буквы «M». Самый странный баг в моей жизни

    Вечером в пятницу коллега, назовем его Мститель, спросил, не сталкивался ли я с проблемой, что route возвращает 400... но «если сменить название на сильно другое», то всё ок. Я сперва не обратил внимание на слово «сильно». Может быть, где-то дублируется регистрация этого рута? Или мститель перепутал GET и POST. Или какой-то баг в общем на создание хэндлеров? Милости просим

    habr.com/ru/articles/1006164/

    #java #netty #bug #биты #long #побитовые_операторы #сдвиг #backend #verification #баги

  9. Бойтесь буквы «M». Самый странный баг в моей жизни

    Вечером в пятницу коллега, назовем его Мститель, спросил, не сталкивался ли я с проблемой, что route возвращает 400... но «если сменить название на сильно другое», то всё ок. Я сперва не обратил внимание на слово «сильно». Может быть, где-то дублируется регистрация этого рута? Или мститель перепутал GET и POST. Или какой-то баг в общем на создание хэндлеров? Милости просим

    habr.com/ru/articles/1006164/

    #java #netty #bug #биты #long #побитовые_операторы #сдвиг #backend #verification #баги

  10. #Netty joined the GitHub Secure OSS Fund.
    Most immediate impact for us is that we reviewed our project security settings, e.g. we now enforce that all maintainers have 2FA.
    We also formalized our incident response plan and threat model.
    There's still more we want to do in this area, but the missing pieces are clearer and more concrete.

    github.blog/open-source/mainta

  11. RE: mastodon.social/@openjdk/11588

    If you use recent #Netty with BoringSSL, you already have this feature: having X25519MLKEM768 enabled by default for TLSv1.3.

  12. If you didn't know, #Netty 4.2.8 and newer enable the X25519MLKEM768 post-quantum key agreement protocol by default when using BoringSSL or AWS-LC. This prevents harvest-now-decrypt-later attacks, for TLS connections where the peer also supports this protocol. Thanks to protocol negotiation in TLS, this enablement is portable and backwards compatible.
    Reference: github.com/netty/netty/pull/15

  13. We've released Netty 4.2.9 and 4.1.130.

    They fix CVE-2025-67735 (github.com/netty/netty/securit), which is a line break injection vulnerability when encoding HTTP request objects.

    The fix introduced a regression we had to fix as well, so versions 4.2.8 and 4.1.129 are skipped.

    netty.io/news/2025/12/15/4-2-9
    netty.io/news/2025/12/15/4-2-8
    netty.io/news/2025/12/15/4-1-1
    netty.io/news/2025/12/15/4-1-1

    #netty #java

  14. The @linuxfoundation has added #Netty to LFX Insights, their index of "the world's most critical open source projects"
    insights.linuxfoundation.org/p

  15. We've released Netty 4.2.6 and 4.1.127, which fixes a regression introduced in the previous version.
    netty.io/news/2025/09/08/4-2-6
    netty.io/news/2025/09/08/4-1-1
    #netty #java

  16. In the past week we've done a handful of Netty releases:
    - Netty 4.1.124.Final (netty.io/news/2025/08/13/4-1-1) and 4.2.4.Final (netty.io/news/2025/08/13/4-2-4) were released, fixing the MadeYouReset HTTP/2 DDoS vulnerability CVE-2025-55163
    - Netty 4.2.4 also includes a slew of other bug fixes and enhancements
    - Netty/Incubator/Codec/OHTTP 0.0.19.Final fixes a couple of bugs: netty.io/news/2025/08/15/ohttp
    - Netty/Incubator/Codec/Quic 0.0.74.Final fixes CVE-2025-7054: netty.io/news/2025/08/18/quic-
    #netty #java

  17. Hot on the heels of the 4.2.3 release yesterday, we've now released Netty 4.1.123.Final.
    It include many of the same bug fixes, and fixes for the adaptive allocator: netty.io/news/2025/07/16/4-1-1
    #netty #java

  18. We've released Netty 4.2.3.Final. This introduces bug-fixes for native image, and big improvements to the io_uring transport and the adaptive memory allocator.
    If you've been on the fence wrt. upgrading to 4.2, this is the release to start looking at.
    Release notes: netty.io/news/2025/07/15/4-2-3
    #netty #java

  19. I made some pretty charts showing the memory allocator improvements we're shipping in #Netty 4.2.3: github.com/netty/netty/pull/15

  20. We've released the Netty Incubator QUIC codec version 0.0.73.Final.
    This includes an updated version of Quiche which fixes CVE-2025-4820 and CVE-2025-4821.
    See the release notes: netty.io/news/2025/06/18/quic-
    #netty #java

  21. Got my inception-level of layers of method handles sorted out, so future #Netty versions will be able to allocate native memory by directly calling malloc and free (but note we require that native access is enabled for this to work… otherwise we fall back to shared memory segments, with their high deallocation costs)

  22. I'm adding Java 25 EA to the #Netty build matrix. With Java 24 we had some users upgrade before we even got our build pipeline in place for it! 😅 We're not gonna get caught off guard again. 😤

  23. We've released Netty 4.2.2.Final, which include lots of bug fixes, and adds support for using MemorySegments for allocating native memory on Java 22+
    Release notes: netty.io/news/2025/06/05/4-2-2
    #netty #java

  24. We've released Netty 4.1.122.Final. This fixes a number of bugs, and also re-enables our use of sun.misc.Unsafe on Java 24+.
    In Netty 4.1.120 we disabled the use of Unsafe by default on Java 24+, but we found that the performance penalty of this was greater than anticipated, so now we are reverting that change.
    Release notes: netty.io/news/2025/06/03/4-1-1
    #netty #java

  25. In #Netty 4.1.120 we changed the default for whether to use sun.misc.Unsafe or not, to `false` (to not use Unsafe) when running on Java 24 or greater. The is to avoid getting warnings printed at runtime from JEP 498.

    We found out that in practice this had much greater performance impact that expected.

    So in Netty 4.1.122 we are reverting that change back to what it was in Netty 4.1.119.

    More info here: github.com/netty/netty/wiki/Ja

    #java

  26. Here's a #Netty pro-tip: if you use TLS on the client-side, always set the endpoint verification algorithm. Even if you wish to disable it, set it to 'null': netty.io/4.1/api/io/netty/hand

    In Netty 4.2 we've changed the default, so endpoint aka. hostname verification is now enabled by default.
    If you upgrade from 4.1 to 4.2, this is one of the most likely issues you'll run into.

  27. Spring Reactor. Эволюция сервисов. На пути к реактивности

    Это статья описывает опыт миграции традиционного приложения java spring на Spring reactor стек. О специфике разрабатываемой информационной системы, уже подробно рассказывал . Кратко о системе - смешанная сервисно-микросервисная архитектура. Чтобы получить бизнес результат, требуется вызвать микросервис, который вызывает сервис, который вызывает набор микросервисов для формирования ценностного набора данных. Получается цепочка вызовов. Сервисы и микросервисы разрабатывались на традиционном технологическом стеке, без использования реактивного подхода. Мое знакомство с реактивным подходом произошло в 2022 году. Плюсы и минусы я осознавал, как мог. В рамках разрабатываемой системы мне было сложно найти ему точку применения. Тогда сложилось понимание, что в существующих рамках реактивный подход не даст возможности эволюционных изменений. Если его применять, то применять ко всему и сразу, как постулирует реактивный манифест . Даешь революцию! Это было заблуждение. Его я не смог разрушить, даже изучая документацию и статьи. Чего-то релевантного моей ситуации в открытых источниках я найти не мог. Этой статьей постараюсь предложить путь и убедить сомневающихся, что долго раздумывать не стоит. Делайте смелый шаг на пути к реактивному стеку.

    habr.com/ru/companies/alfastra

    #spring_boot #webflux #tomcat #asynchronous #nio #netty #reactor #redis #performance #feign

  28. #BSI WID-SEC-2025-0285: [NEU] [mittel] #Red #Hat #Enterprise #Linux (#Quarkus #und #Netty): Mehrere Schwachstellen

    Ein anonymer oder lokaler Angreifer kann mehrere Schwachstellen in Red Hat Enterprise Linux ausnutzen, um Dateien zu manipulieren, vertrauliche Informationen preiszugeben und einen Denial-of-Service-Zustand zu verursachen.

    wid.cert-bund.de/portal/wid/se

  29. 🚀 We’re excited to share that Nurl has been officially nominated for the 2024 Netty Awards in the Gaming category!

    This honor highlights our mission to transform the TTRPG experience. Thank you to our amazing community for the support! 🙌

    🔗 Learn more & join our waitlist at:
    nurl.website/blog/netty-awards

    #netty #gaming #ttrpg #nurl

  30. Разработка высоконагруженного игрового WebSocket сервера на Kotlin, Webflux с поддержкой BattleRoyale/Matchmaking

    Всем доброго времени суток. Некоторое время назад мною была написана статья , где я детально описал процесс разработки демо игрового вебсокет сервера. На этот раз, я хотел бы поделиться более усовершенствованным и оптимизированным материалом на Kotlin и реактивном стеке .

    habr.com/ru/articles/800689/

    #java #kotlin #netty #webflux #websocket #gamedevelopment #spring #springboot #разработка_игр #highload