第5章 修正された問題
AMQ Streams 1.8 on RHEL で修正された問題を、以下の表に示します。Kafka 2.8.0 で修正された問題の詳細は、『Kafka 2.8.0 Release Notes』を参照してください。
表5.1 修正された問題
| 課題番号 | 説明 |
|---|---|
|
理由がないため、 | |
| Kafka Exporter の実行により、CPU の使用率が高くなります。 | |
| ローリングアップデート中に Kafka Exporter の再起動を停止するようにヘルスチェックを微調整します。 | |
| サイズの大きいファイルの場合にファイルソースコネクターが停止します。 |
表5.2 CVE (Common Vulnerabilities and Exposures) の修正
| 課題番号 | タイトル | 説明 |
|---|---|---|
| CVE-2021-34428 jetty-server: jetty: SessionListener により、セッションがログアウトの破損を非検証しなくなる。 | jetty-server で SessionListener#sessionDestroyed() メソッドから例外が発生すると、セッション ID マネージャーでセッション ID が無効にならない不具合が見つかりました。クラスター化されたセッションと複数のコンテキストが含まれるデプロイメントでは、セッションが無効化されるのではなく、共有計算アプリケーションがログインされたままになっていました。この脆弱性では、データの整合性と機密性が最も懸念されます。 | |
| CVE-2021-28169 jetty-server: jetty: ConcatServlet および WelcomeFilter への要求が WEB-INF ディレクトリー内の保護されているリソースにアクセスできる。 | - | |
| CVE-2021-21409 netty: content-length ヘッダーを使用した要求スマグリング。 | Netty で不具合が発見されました。要求で endstream が true に設定された Http2HeaderFrame が 1 つ使用される場合には、content-length ヘッダーが正しく検証されない問題が発生します。要求がリモートピアにプロキシーされ、HTTP/1.1 に変換された場合に、リクエストスマグリングが発生します。この脆弱性では、整合性が最も懸念されます。 | |
| CVE-2021-27568 json-smart: 例外がキャッチされないことでクラッシュまたは情報公開が発生する | json-smart で不具合が発見されました。関数から例外がスローされ、キャッチされないと、ライブラリーを使用するプログラムがクラッシュしたり、機密情報を公開したりされる可能性があります。この脆弱性では、データの機密性およびシステムの可用性への影響が最も懸念されます。 OpenShift Container Platform (OCP) では、OCP メータリングスタックを構成する Hive/Presto/Hadoop コンポーネントには脆弱なバージョンの json-smart パッケージが同梱されます。OCP 4.6 リリース以降、メータリング製品は非推奨となったため [1] 、影響を受けるコンポーネントは wontfix とマークされます。これは今後修正される可能性があります。 | |
| CVE-2021-21295 netty: 検証がされないことが原因で HTTP/2 での要求スマグリングが可能に |
バージョン 4.1.60.Final 以前の Netty (io.netty:netty-codec-http2) では、リクエストスマグリングを可能にする脆弱性があります。Content-Length ヘッダーが元の HTTP/2 要求にある場合に、伝播されるため、フィールドは | |
| CVE-2021-21290 netty: ローカルシステムの一時ディレクトリーを介して情報が公開される。 | Netty では、安全でない一時ファイルを使用する Unix のようなシステムに脆弱性があります。netty のマルチパートデコーダーが使用されており、ディスクへの一時的なアップロードが有効な場合に、ローカルシステムの一時ディレクトリーを使用してローカル情報を公開できます。unix のようなシステムでは、一時ディレクトリーは全ユーザー間で共有されます。そのため、ファイル/ディレクトリーのパーミッションを明示的に設定しない API を使用してこのディレクトリーに書き込むと、情報が開示される可能性があります。 | |
| CVE-2020-13949 libthrift: 信頼できないペイロードを処理する時に DoS が発生する可能性がある。 | libthrift で不具合が発見されました。Thrift を使用するアプリケーションは、ペイロードよりもサイズが大きいコンテナーを宣言するメッセージを受信しても、エラーが表示されません。これにより、悪意のある RPC クライアントで、短いメッセージを送信できるため、メモリーの割り当てが大きくなり、DoS につながる可能性があります。この脆弱性では、システムの可用性が最も懸念されます。 | |
| CVE-2020-9488 log4j: 証明書に SMTP アペンダーのホストに不一致がある場合に検証が正確に行われない。 | - | |
| CVE-2021-28163 jetty-server: jetty: Symlink ディレクトリーが webapp ディレクトリーの内容を公開する。 |
| |
| CVE-2021-28164 jetty-server: jetty: あいまいなパスで WEB-INF にアクセスできる。 |
Jetty では、デフォルトのコンプライアンスモードを使用すると、 | |
| CVE-2021-28165 jetty-server: jetty: サイズが大きく、無効な TLS フレームを受信すると、リソースが枯渇する、 | HTTP/1.1、HTTP/2、または WebSocket のいずれかで SSL/TLS を使用する場合、サーバーは無効なサイズ (かつ 17408) TLS フレームを誤って処理し、CPU リソースの使用量が多くなる可能性があります。この脆弱性では、サービスの可用性が最も懸念されます。 | |
| CVE-2021-29425 commons-io: apache-commons-io: Apache Commons IO 2.2 から 2.6 へのパストラバーサルに制限がある。 | - | |
| CVE-2021-28168 jersey-common: jersey: システム一時ディレクトリーを介してローカル情報が公開される。 | - |
