play2でweb socketsのセキュリティに関する問題があったらしい

[Kenji Yoshida]

play2 自体というより、nettyに問題があったみたいですね

https://groups.google.com/d/topic/play-framework-security/ZWW0YzRnbHs/discussion

http://netty.io/news/2014/04/30/release-day.html

play2.2.xを使ってる人は

- play2.2.3を使う(たった今出たばかり。修正された新しいnettyに依存してる)

- "io.netty" % "netty" % "3.7.1.Final" という依存を明示的に加えて、問題が修正されてるnetty3.7系の最新版で上書きする

のどちらかで、

play2.1.xを使ってる人は

- "io.netty" % "netty" % "3.6.9.Final" の依存を明示的に加える

という対策方法らしいです。

べつに自分もこの件に関してそれほど詳しいわけではなく、適当に要約しただけなので、間違ってたらツッコミください

[masahito]

@Masahito です。少しだけ補足しておきます。

Netty側でどんな変更が行われたかはこちらからたどれます。

http://netty.io/news/2014/04/30/release-day.html

今回の問題の修正は「Fix a resource usage problem in the WebSocket08FrameDecoder」というやつで、

NettyでのWebSocket関連の実装での不具合のようですね。

「So if you using the stock WebSockets codec provided by Netty you should update ASAP! 」

とのことなので、Play! 2系でWebSocket関連の機能を使う(or 使おうとしている場合には)早めに対策したほうがよさそうです。

"Various SSL fixes"ってのもあるので、対策推奨。

ちなみに、今回の問題はPlay! のコミッター James Roperが見つけたものです。