第6章 修正された Common Vulnerabilities and Exposures (CVE)

ここでは、AMQ Broker 7.9 リリースで修正された Common Vulnerabilities and Exposures (CVE) について詳しく説明します。

  • ENTMQBR-4071CVE-2020-13956 httpclient: apache-httpclient: リクエスト URI での不適切な authority コンポーネントへの対処が正しくない
  • ENTMQBR-4677-CVE-2021-21290 netty: ローカルシステムの一時ディレクトリーを介した情報開示
  • ENTMQBR-4775-CVE-2020-27223 jetty: "quality" パラメーターが多数ある Accept ヘッダーを複数含む要求では、DoS が発生する可能性がある
  • ENTMQBR-4779-CVE-2021-3425 ブローカー: Red Hat AMQ Broker: アプリケーションログファイルで JDBC のユーザー名とパスワードが開示される
  • ENTMQBR-4795-CVE-2021-21295 netty: 検証されないので HTTP/2 で Request Smuggling (リクエストスマグリング) が発生する可能性がある
  • ENTMQBR-4829-CVE-2021-21409 netty: content-length ヘッダー経由にリクエストスマグリング
  • ENTMQBR-4907-CVE-2021-28163 jetty-server:jetty: シンボリックリンクディレクトリーで webapp ディレクトリーの内容が公開される
  • ENTMQBR-4911-CVE-2021-28165 jetty-server:jetty: サイズが大きく、無効な TLS フレームを受信時のリソースの枯渇
  • ENTMQBR-4912-CVE-2021-28164 jetty-server:jetty: あいまいなパスで WEB-INF にアクセスできる
  • ENTMQBR-4960-CVE-2021-29425 commons-io:apache-commons-io: Apache Commons IO2.2 から 2.6 での制限付きパストラバーサル
  • ENTMQBR-5118-CVE-2021-28169 jetty-server:jetty: Concat Servlet および Welcome Filter への要求で WEB-INF ディレクトリー内の保護されたリソースにアクセスできる
  • ENTMQBR-5165-CVE-2021-34428 jetty-server:jetty: Session Listener が原因でセッションがログアウトが機能しない場合に無効化されない
  • ENTMQBR-5229-CVE-2021-20289 resteasy-jaxrs:resteasy: エラーメッセージでエンドポイントクラス情報が公開される
  • ENTMQBR-5250CVE-2021-34429: jetty-server: jetty: で特別に作成された URI により、セキュリティーの制約を回避できる
  • ENTMQBR-5398-CVE-2021-3763 AMQ ブローカー 7: 管理コンソールの権限が正しくない