第6章 修正された Common Vulnerabilities and Exposures (CVE)

本セクションでは、AMQ Broker 7.9 リリースで修正された CVE (Common Vulnerabilities and Exposures) の詳細を説明します。

  • ENTMQBR-4071: CVE-2020-13956 httpclient: リクエスト URI での不適切な authority コンポーネントへの対処が正しくない
  • ENTMQBR-4677: CVE-2021-21290 netty: ローカルシステムの一時ディレクトリーを介した情報の公開
  • ENTMQBR-4775: CVE-2020-27223 jetty: 複数の Accept ヘッダーが含まれ、多数の "quality" パラメーターが含まれるリクエストにより DoS が発生する可能性あり
  • ENTMQBR-4779 - CVE-2021-3425 broker: Red Hat AMQ Broker: アプリケーションログファイルで JDBC ユーザー名とパスワードを開示
  • ENTMQBR-4795: CVE-2021-21295 netty: 検証の欠落により HTTP/2 でのリクエストスマグリングの可能性
  • ENTMQBR-4829: CVE-2021-21409 netty: content-length ヘッダーを使用した要求スマグリング
  • ENTMQBR-4907: CVE-2021-28163 jetty-server: Symlink による webapp ディレクトリーの内容公開
  • ENTMQBR-4911: CVE-2021-28165 jetty-server: jetty: サイズが大きく、無効な TLS フレームを受信すると、リソースが枯渇する
  • ENTMQBR-4912: CVE-2021-28164 jetty-server: jetty: あいまいなパスが WEB-INF にアクセス可能。
  • ENTMQBR-4960: CVE-2021-29425 commons-io: apache-commons-io: Apache Commons IO 2.2 から 2.6 への制限されたパストラバーサル
  • ENTMQBR-5118: CVE-2021-28169 jetty-server: jetty: ConcatServlet および WelcomeFilter への要求が WEB-INF ディレクトリー内の保護されているリソースにアクセスできる
  • ENTMQBR-5165: CVE-2021-34428 jetty-server: jetty: SessionListener により、セッションがログアウトの破損を非検証しなくなる
  • ENTMQBR-5229 - CVE-2021-20289 resteasy-jaxrs: resteasy: エラーメッセージによりエンドポイントクラス情報が開示
  • ENTMQBR-5250 - CVE-2021-34429 jetty-server: jetty: crafted URI によりセキュリティー制約が迂回可能
  • ENTMQBR-5398 - CVE-2021-3763 AMQ Broker 7: Incorrect privilege in Management Console