Summary

v4.12.2 は、AWS ALB を経由して動作する Lambda アダプタでの X-Forwarded-For の誤処理に起因する、IP ベースのアクセス制御回避を修正したセキュリティリリースです（GHSA-xh87-mx6m-69f3）。また、以前の PR #4707 を取り消す修正が含まれます。影響を受ける環境では速やかなアップグレードを推奨します。

Key Points

• 修正内容
  • AWS Lambda アダプタ（ALB 背後）での X-Forwarded-For ヘッダ処理の誤りを修正し、IP ベースのアクセス制御の迂回を防止。
  • PR #4707 の取り消し（revert）を含む (#4757)。
• 影響範囲
  • ALB を経由して Lambda で hono を使い、クライアント IP を元にアクセス制御を行っている構成。
• 推奨対応
  • できるだけ早く hono を v4.12.2 にアップグレード（例: npm/yarn でバージョン指定）。
  • アップグレード前後で X-Forwarded-For に基づくアクセス制御の動作確認（ログと実稼働環境での検証）。
  • すぐにアップグレードできない場合は、ALB 側の設定で期待するクライアント IP が確実に渡されることを確認するか、追加のサーバー側検証を実装する。
• 追記
  • コミットや貢献者: リリースは yusukebe と EdamAme-x による対応。詳細はリポジトリの差分ログを参照。