Menu Close
Settings Close

Language and Page Formatting Options

1.2.8. OpenShift Logging 5.0.3

このリリースには、RHSA-2021:1515 - Security Advisory、Important OpenShift Logging Bug Fix Release (5.0.3) が含まれます。

1.2.8.1. セキュリティー修正

  • jackson-databind: jackson-databind: slf4j-ext クラスでの任意のコード実行 (CVE-2018-14718)
  • jackson-databind: blaze-ds-opt および blaze-ds-core クラスでの任意のコード実行 (CVE-2018-14719)
  • jackson-databind: 一部の JDK クラスでの exfiltration/XXE (CVE-2018-14720)
  • jackson-databind: axis2-jaxws クラスでの SSRF (server-side request forgery) CVE-2018-14721)
  • jackson-databind: axis2-transport-jms クラスでの不適切なポリモーフィックなデシリアライズ (CVE-2018-19360)
  • jackson-databind: openjpa クラスでの適切でないポリモーフィックなデシリアライズ (CVE-2018-19361)
  • jackson-databind: jboss-common-core クラスでの適切でないポリモーフィックなデシリアライズ (CVE-2018-19362)
  • jackson-databind: リモートコード実行につながるデフォルトのタイプミス (CVE-2019-14379)
  • jackson-databind: com.pastdev.httpcomponents.configuration.JndiConfiguration のシリアル化ガジェット (CVE-2020-24750)
  • jackson-databind: org.apache.commons.dbcp2.datasources.PerUserPoolDataSource に関連するシリアル化ガジェットと入力間の対話の誤操作 (CVE-2020-35490)
  • jackson-databind: org.apache.commons.dbcp2.datasources.SharedPoolDataSource(CVE-2020-35491) に関連するシリアル化ガジェットと入力間の対話を誤操作 (CVE-2020-35491)
  • jackson-databind: com.oracle.wls.shaded.org.apache.xalan.lib.sql.JNDIConnectionPool に関連するシリアル化ガジェットと入力間の対話の誤操作 (CVE-2020-35728)
  • jackson-databind: oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS に関連するシリアル化ガジェットと入力間の対話の誤操作 (CVE-2020-36179)。
  • jackson-databind: org.apache.commons.dbcp2.cpdsadapter.DriverAdapterCPDS に関連するシリアル化ガジェットと入力間の対話の誤操作 (CVE-2020-36180)
  • jackson-databind: org.apache.tomcat.dbcp.dbcp.dbcp.cpdsadapter.DriverAdapterCPDS に関連するシリアル化ガジェットと入力間の対話の誤操作 (CVE-2020-36181)
  • jackson-databind: org.apache.tomcat.dbcp.dbcp2.cpdsadapter.DriverAdapterCPDS に関連するシリアル化ガジェットと入力間の対話の誤操作 (CVE-2020-36182)
  • jackson-databind: org.docx4j.org.apache.xalan.lib.sql.JNDIConnectionPool に関連するシリアル化ガジェットと入力間の対話の誤操作 (CVE-2020-36183)
  • jackson-databind: org.apache.tomcat.dbcp.dbcp2.datasources.PerUserPoolDataSource に関連するシリアル化ガジェットと入力間の対話の誤操作 (CVE-2020-36184)
  • jackson-databind: org.apache.tomcat.dbcp.dbcp2.datasources.SharedPoolDataSource に関連するシリアル化ガジェットと入力間の対話の誤操作 (CVE-2020-36185)
  • jackson-databind: org.apache.tomcat.dbcp.dbcp.datasources.PerUserPoolDataSource に関連するシリアル化ガジェットと入力間の対話の誤操作 (CVE-2020-36186)
  • jackson-databind: org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSource に関連するシリアル化ガジェットと入力間の対話の誤操作 (CVE-2020-36187)
  • jackson-databind: com.newrelic.agent.deps.ch.qos.logback.core.db.JNDIConnectionSource に関連するシリアル化ガジェットと入力間の対話の誤操作 (CVE-2020-36188)
  • jackson-databind: com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManagerConnectionSource に関連するシリアル化ガジェットと入力間の対話の誤操作 (CVE-2020-36189)
  • jackson-databind: javax.swing に関連するシリアル化ガジェットと入力間の対話の誤操作 (CVE-2021-20190)
  • golang: ReverseProxy を含む特定の net/http サーバーでのデータ競合が DoS 引き起こす可能性がある (CVE-2020-15586)
  • golang: ReadUvarint および ReadVarint が 無効な入力から無制限のバイト数を読み取る可能性がある (CVE-2020-16845)
  • OpenJDK: JAR 署名が完了されない場合にアルゴリズム (ライブラリー、8249906) が無効になる (CVE-2021-2163)

以下の Jira の問題には、上記の CVE が含まれます。

  • LOG-1234 CVE-2020-15586 CVE-2020-16845 openshift-eventrouter: 各種の不具合 [openshift-4](LOG-1234)
  • LOG-1243 CVE-2018-14718 CVE-2018-14719 CVE-2018-14720 CVE-2018-14721 CVE-2018-19360 CVE-2018-19361 CVE-2018-19362 CVE-2019-14379 CVE-2020-35490 CVE-2020-35491 CVE-2020-35728…​ logging-elasticsearch6-container: 各種の不具合 [openshift-logging-5.0](LOG-1243)