DocsDigest
一覧へLanguage: EN
OpenAIHono2026/02/23 7:25

v4.12.2

要点だけを先に読めるように短く再構成したセクションです。

元記事
OpenAIClaude

Quick Digest

要約

要点だけを先に読めるように短く再構成したセクションです。

openaijamodel: gpt-5-mini-2025-08-07

hono v4.12.2 リリース — ALB 背後の X-Forwarded-For セキュリティ修正

securityawslambdaalbx-forwarded-forhonohttp

Key Points

  • セキュリティ修正
  • ALB+Lambda の IP バイパス修正
  • PR #4707 をリバート

Summary

v4.12.2 は、AWS ALB を経由して動作する Lambda アダプタでの X-Forwarded-For の誤処理に起因する、IP ベースのアクセス制御回避を修正したセキュリティリリースです(GHSA-xh87-mx6m-69f3)。また、以前の PR #4707 を取り消す修正が含まれます。影響を受ける環境では速やかなアップグレードを推奨します。

Key Points

  • 修正内容
    • AWS Lambda アダプタ(ALB 背後)での X-Forwarded-For ヘッダ処理の誤りを修正し、IP ベースのアクセス制御の迂回を防止。
    • PR #4707 の取り消し(revert)を含む (#4757)。
  • 影響範囲
    • ALB を経由して Lambda で hono を使い、クライアント IP を元にアクセス制御を行っている構成。
  • 推奨対応
    • できるだけ早く hono を v4.12.2 にアップグレード(例: npm/yarn でバージョン指定)。
    • アップグレード前後で X-Forwarded-For に基づくアクセス制御の動作確認(ログと実稼働環境での検証)。
    • すぐにアップグレードできない場合は、ALB 側の設定で期待するクライアント IP が確実に渡されることを確認するか、追加のサーバー側検証を実装する。
  • 追記
    • コミットや貢献者: リリースは yusukebe と EdamAme-x による対応。詳細はリポジトリの差分ログを参照。

Full Translation

翻訳

原文の流れを保ったまま読める翻訳セクションです。

openaijamodel: gpt-5-mini-2025-08-07

v4.12.2

v4.12.2

公開日: 2026-02-23T07:25:38.000Z

  • リリース担当: @yusukebe(released 23 Feb 07:25)
  • このリリース以降 main へのコミット数: 42 commits
  • コミット: df97e5f

セキュリティ修正

  • 修正内容: AWS Lambda adapter が ALB の背後で動作する場合における X-Forwarded-For の誤った処理により、IP ベースのアクセス制御をバイパスできる可能性がありました。これを修正しました。
  • 詳細: GHSA-xh87-mx6m-69f3
  • 貢献: Thanks @EdamAme-x

変更点

  • fix(context): revert PR #4707 by @yusukebe in #4757

フルチェンジログ

  • v4.12.1...v4.12.2

コントリビューター

  • yusukebe
  • EdamAme-x

アセット

  • 2 アセット

リアクション

  • 👍 8: binishjoshi, orielhaim, kfly8, lukavada, maciejcieslar, JoeskiG, alexasomba, yunusemreaksu
  • 🎉 3: rwdr0, orielhaim, binishjoshi
  • ❤️ 2: peterhirn, sant123
  • 🚀 1: meitrix8208

合計: 12 人がリアクションしました

v4.12.2 | Hono | DocsDigest