5.4. Camel Spring Boot で修正された問題
次のセクションでは、Camel Spring Boot で修正された問題を一覧表示します。
5.4.1. Camel Spring Boot バージョン 3.20.1.1 で修正された問題
次の表に、Camel Spring Boot バージョン 3.20.1.1 で解決されたバグを示します。
表5.1 Camel Spring Boot バージョン 3.20.1.1 で解決されたバグ
| 問題 | 説明 |
|---|---|
| CVE-2022-31690 spring-security-oauth2-client: spring-security-oauth2-client [rhint-camel-spring-boot-3] の権限昇格 | |
| CVE-2023-20883 spring-boot: Spring Boot ウェルカムページの DoS 脆弱性 [rhint-camel-spring-boot-3.20] | |
| CVE-2023-24815 vertx-web: マウントポイントがワイルドカードルートの場合、Windows 上のクラスパスリソースが StaticHandler により漏えいする [rhint-camel-spring-boot-3.20] | |
| CXF TrustedAuthorityValidatorTest の失敗 | |
| CAMEL-19421 のバックポート - Camel-Jira: ファイルを直接作成する代わりに、FileConverter で Files.createTempFile を使用する |
5.4.2. Camel Spring Boot バージョン 3.18.3.1 で修正された問題
次の表に、Camel Spring Boot バージョン 3.18.3.1 で解決されたバグを示します。
表5.2 Camel Spring Boot バージョン 3.18.3.1 で解決されたバグ
| 問題 | 説明 |
|---|---|
| CVE-2022-25857 snakeyaml: コレクションのネストされた深さ制限の欠如によるサービス拒否 [rhint-camel-spring-boot-3] | |
| CVE-2022-38752 snakeyaml: java.base/java.util.ArrayList.hashCode の捕捉されなかった例外 [rhint-camel-spring-boot-3] | |
| CVE-2022-38751 snakeyaml: java.base/java.util.regex.Pattern$Ques.match で例外がキャッチされない [rhint-camel-spring-boot-3] | |
| CVE-2022-38750 snakeyaml: org.yaml.snakeyaml.constructor.BaseConstructor.constructObject で例外がキャッチされない [rhint-camel-spring-boot-3] | |
| CVE-2022-38749 snakeyaml: org.yaml.snakeyaml.composer.Composer.composeSequenceNode で例外がキャッチされない [rhint-camel-spring-boot-3] | |
| CVE-2022-42003 jackson-databind: UNWRAP_SINGLE_VALUE_ARRAYS に関する深いラッパー配列のネスト [rhint-camel-spring-boot-3] | |
| CVE-2022-42004 jackson-databind: 深くネストされた配列の使用 [rhint-camel-spring-boot-3] | |
| CVE-2023-1370 json-smart: json-smart の制御できないリソース消費の脆弱性 (リソース枯渇) [rhint-camel-spring-boot-3.18] | |
| CVE-2023-1436 jettison: JSONArray での制御できない再帰 [rhint-camel-spring-boot-3] | |
| CVE-2022-46364 CXF: Apache CXF: SSRF の脆弱性 [rhint-camel-spring-boot-3] | |
| CVE-2022-46363 CXF: Apache CXF: ディレクトリーリスティング/コードの流出 [rhint-camel-spring-boot-3] | |
| CVE-2022-45047 sshd-common: mina-sshd: Java の安全ではない逆シリアル化の脆弱性 | |
| CVE-2022-25857 snakeyaml: コレクションのネストされた深さ制限の欠如によるサービス拒否 [rhint-camel-spring-boot-3] | |
| CVE-2022-41854 dev-java-snakeyaml: dev-java/snakeyaml: スタックオーバーフローによる DoS [rhint-camel-spring-boot-3] | |
| CVE-2022-40156 xstream: XML データをシリアライズする Xstream がサービス拒否攻撃に対して脆弱である [rhint-camel-spring-boot-3] | |
| CVE-2022-40152 woodstox-core: XML データをシリアライズする woodstox がサービス拒否攻撃に対して脆弱である [rhint-camel-spring-boot-3] | |
| CVE-2023-20883 spring-boot: Spring Boot ウェルカムページの DoS 脆弱性 [rhint-camel-spring-boot-3.18] | |
| undertow のバージョン更新 (2.2.24.SP1-redhat-00001) 後に CXF テストが失敗する | |
| CAMEL-19421 のバックポート - Camel-Jira: ファイルを直接作成する代わりに、FileConverter で Files.createTempFile を使用する | |
| CXF TrustedAuthorityValidatorTest の失敗 |
5.4.3. Camel Spring Boot バージョン 3.20 で修正された問題
次の表に、Camel Spring Boot バージョン 3.20 で解決されたバグを示します。
表5.3 Camel Spring Boot バージョン 3.20 で解決されたバグ
| 問題 | 説明 |
|---|---|
| CVE-2022-25857 snakeyaml: コレクションのネストされた深さ制限の欠如によるサービス拒否 [rhint-camel-spring-boot-3] | |
| CVE-2022-40156 xstream: XML データをシリアライズする Xstream がサービス拒否攻撃に対して脆弱である [rhint-camel-spring-boot-3] | |
| CVE-2022-40152 woodstox-core: XML データをシリアライズする woodstox がサービス拒否攻撃に対して脆弱である [rhint-camel-spring-boot-3] | |
| CVE-2022-40151 xstream: XML データをシリアライズする Xstream がサービス拒否攻撃に対して脆弱である [rhint-camel-spring-boot-3] | |
| CVE-2022-38752 snakeyaml: java.base/java.util.ArrayList.hashCode の捕捉されなかった例外 [rhint-camel-spring-boot-3] | |
| CVE-2022-38751 snakeyaml: java.base/java.util.regex.Pattern$Ques.match で例外がキャッチされない [rhint-camel-spring-boot-3] | |
| CVE-2022-38750 snakeyaml: org.yaml.snakeyaml.constructor.BaseConstructor.constructObject で例外がキャッチされない [rhint-camel-spring-boot-3] | |
| CVE-2022-38749 snakeyaml: org.yaml.snakeyaml.composer.Composer.composeSequenceNode で例外がキャッチされない [rhint-camel-spring-boot-3] | |
| CVE-2022-42003 jackson-databind: UNWRAP_SINGLE_VALUE_ARRAYS に関する深いラッパー配列のネスト [rhint-camel-spring-boot-3] | |
| CVE-2022-42004 jackson-databind: 深くネストされた配列の使用 [rhint-camel-spring-boot-3] | |
| CVE-2022-41852 JXPath: 信頼できない XPath 式が RCE 攻撃につながる可能性がある [rhint-camel-spring-boot-3] | |
| CVE-2022-41853 hsqldb: 信頼できない入力が RCE 攻撃につながる可能性がある [rhint-camel-spring-boot-3] | |
| CVE-2022-33681 org.apache.pulsar-pulsar-client: Apache Pulsar: Java クライアントおよびプロキシーでの不適切なホスト名検証により、MITM 経由で認証データが公開される可能性がある [rhint-camel-spring-boot-3] | |
| CVE-2022-40150 jettison: ユーザー指定の XML または JSON データによるメモリー枯渇 [rhint-camel-spring-boot-3] | |
| CVE-2022-39368 scandium: DTLS ハンドシェイクの失敗により、レコードの処理がブロックされるスロットリングが発生する可能性がある [rhint-camel-spring-boot-3] | |
| CVE-2022-31777 apache-spark: ログビューアー UI JavaScript の XSS 脆弱性 [rhint-camel-spring-boot-3] | |
| camel-kafka-starter: KafkaConsumerHealthCheckIT が機能していない | |
| l2x6 cq-maven-plugin が camel-avro-rpc-component の誤ったバージョンを設定する | |
| camel-cxf-rest-starter: EchoService は JDK 17 のインターフェイスエラーではありません。 | |
| camel-infinispan-starter: FIPS が有効な環境でテストが失敗する | |
| CVE-2022-37866 apache-ivy: Apache Ivy: Ivy パストラバーサル [rhint-camel-spring-boot-3] | |
| CVE-2022-41881 codec-haproxy: HAProxyMessageDecoder スタック枯渇 DoS [rhint-camel-spring-boot-3] | |
| CVE-2022-41854 dev-java-snakeyaml: dev-java/snakeyaml: スタックオーバーフローによる DoS [rhint-camel-spring-boot-3] | |
| [archetype] openshift プロファイルの OMP バージョン | |
| CVE-2022-38648 batik: サーバーサイドリクエストフォージェリ [rhint-camel-spring-boot-3] | |
| CVE-2022-38398 batik: サーバーサイドリクエストフォージェリ [rhint-camel-spring-boot-3] | |
| CVE-2022-40146 batik: サーバーサイドリクエストフォージェリ (SSRF) の脆弱性 [rhint-camel-spring-boot-3] | |
| CVE-2022-4492 undertow: https 接続のサーバー ID が undertow クライアントによってチェックされない [rhint-camel-spring-boot-3] | |
| CVE-2022-45047 sshd-common: mina-sshd: Java の安全ではない逆シリアル化の脆弱性 | |
| SAP クイックスタート spring-boot の例には循環参照がある | |
| FIPS モードで openJDK11 を使用して実行すると、camel-salesforce-maven-plugin:3.20.1 が失敗する | |
| CVE-2021-37533 apache-commons-net: FTP クライアントはデフォルトで PASV 応答からのホストを信頼する [rhint-camel-spring-boot-3] | |
| CVE-2023-24998 tomcat: Apache Commons FileUpload: 過剰な部分を含む FileUpload DoS [rhint-camel-spring-boot-3] | |
| CVE-2022-41966 xstream: 要素のハッシュ値に基づいて再帰的なコレクションまたはマップを挿入することによるサービス拒否によりスタックオーバーフローが発生する [rhint-camel-spring-boot-3] | |
| FIPS モード: 一部の camel コンポーネントでの無効なアルゴリズムとセキュリティーの問題 | |
| BOM 内の Spring Boot バージョンが誤っている | |
| CVE-2023-20860 springframework: 接頭辞のないダブルワイルドカードパターンによるセキュリティーバイパス [rhint-camel-spring-boot-3] | |
| CVE-2023-20861 springframework: Spring Expression DoS 脆弱性 [rhint-camel-spring-boot-3] | |
| CVE-2022-42890 batik: Apache XML Graphics Batik で信頼できないコードが実行される [rhint-camel-spring-boot-3] | |
| CVE-2022-41704 batik: Apache XML Graphics Batik が SVG 経由のコード実行に脆弱 [rhint-camel-spring-boot-3] | |
| CVE-2022-37865 apache-ivy: ディレクトリートラバーサル [rhint-camel-spring-boot-3] | |
| CVE-2023-22602 shiro-core: shiro: 特別に細工された HTTP リクエストによる認証バイパス [rhint-camel-spring-boot-3] | |
| CVE-2023-1436 jettison: JSONArray での制御できない再帰 [rhint-camel-spring-boot-3] | |
| camel-openapi-rest-dsl-generator によって生成されたクラスは jar に追加されない | |
| [cxfrs-component] camel-cxf-rest-starter needs cxf-spring-boot-autoconfigure | |
| CVE-2023-20863 springframework: Spring Expression DoS 脆弱性 [rhint-camel-spring-boot-3.14] | |
| CVE-2023-1370 json-smart: json-smart の制御できないリソース消費の脆弱性 (リソース枯渇) [rhint-camel-spring-boot-3.18] |
5.4.4. Camel Spring Boot バージョン 3.18 パッチ 1 で修正された問題
次の表に、Camel Spring Boot バージョン 3.18 パッチ 1 で解決されたバグを示します。