5.4. Camel Spring Boot で修正された問題

次のセクションでは、Camel Spring Boot で修正された問題を一覧表示します。

5.4.1. Camel Spring Boot バージョン 3.20.1.1 で修正された問題

次の表に、Camel Spring Boot バージョン 3.20.1.1 で解決されたバグを示します。

表5.1 Camel Spring Boot バージョン 3.20.1.1 で解決されたバグ

問題説明

CSB-1524

CVE-2022-31690 spring-security-oauth2-client: spring-security-oauth2-client [rhint-camel-spring-boot-3] の権限昇格

CSB-1718

CVE-2023-20883 spring-boot: Spring Boot ウェルカムページの DoS 脆弱性 [rhint-camel-spring-boot-3.20]

CSB-1719

CVE-2023-24815 vertx-web: マウントポイントがワイルドカードルートの場合、Windows 上のクラスパスリソースが StaticHandler により漏えいする [rhint-camel-spring-boot-3.20]

CSB-1760

CXF TrustedAuthorityValidatorTest の失敗

CSB-1821

CAMEL-19421 のバックポート - Camel-Jira: ファイルを直接作成する代わりに、FileConverter で Files.createTempFile を使用する

5.4.2. Camel Spring Boot バージョン 3.18.3.1 で修正された問題

次の表に、Camel Spring Boot バージョン 3.18.3.1 で解決されたバグを示します。

表5.2 Camel Spring Boot バージョン 3.18.3.1 で解決されたバグ

問題説明

CSB-656

CVE-2022-25857 snakeyaml: コレクションのネストされた深さ制限の欠如によるサービス拒否 [rhint-camel-spring-boot-3]

CSB-714

CVE-2022-38752 snakeyaml: java.base/java.util.ArrayList.hashCode の捕捉されなかった例外 [rhint-camel-spring-boot-3]

CSB-715

CVE-2022-38751 snakeyaml: java.base/java.util.regex.Pattern$Ques.match で例外がキャッチされない [rhint-camel-spring-boot-3]

CSB-716

CVE-2022-38750 snakeyaml: org.yaml.snakeyaml.constructor.BaseConstructor.constructObject で例外がキャッチされない [rhint-camel-spring-boot-3]

CSB-717

CVE-2022-38749 snakeyaml: org.yaml.snakeyaml.composer.Composer.composeSequenceNode で例外がキャッチされない [rhint-camel-spring-boot-3]

CSB-719

CVE-2022-42003 jackson-databind: UNWRAP_SINGLE_VALUE_ARRAYS に関する深いラッパー配列のネスト [rhint-camel-spring-boot-3]

CSB-720

CVE-2022-42004 jackson-databind: 深くネストされた配列の使用 [rhint-camel-spring-boot-3]

CSB-1540

CVE-2023-1370 json-smart: json-smart の制御できないリソース消費の脆弱性 (リソース枯渇) [rhint-camel-spring-boot-3.18]

CSB-1702

CVE-2023-1436 jettison: JSONArray での制御できない再帰 [rhint-camel-spring-boot-3]

CSB-1703

CVE-2022-46364 CXF: Apache CXF: SSRF の脆弱性 [rhint-camel-spring-boot-3]

CSB-1704

CVE-2022-46363 CXF: Apache CXF: ディレクトリーリスティング/コードの流出 [rhint-camel-spring-boot-3]

CSB-1705

CVE-2022-45047 sshd-common: mina-sshd: Java の安全ではない逆シリアル化の脆弱性

CSB-1711

CVE-2022-25857 snakeyaml: コレクションのネストされた深さ制限の欠如によるサービス拒否 [rhint-camel-spring-boot-3]

CSB-1712

CVE-2022-41854 dev-java-snakeyaml: dev-java/snakeyaml: スタックオーバーフローによる DoS [rhint-camel-spring-boot-3]

CSB-1713

CVE-2022-40156 xstream: XML データをシリアライズする Xstream がサービス拒否攻撃に対して脆弱である [rhint-camel-spring-boot-3]

CSB-1714

CVE-2022-40152 woodstox-core: XML データをシリアライズする woodstox がサービス拒否攻撃に対して脆弱である [rhint-camel-spring-boot-3]

CSB-1717

CVE-2023-20883 spring-boot: Spring Boot ウェルカムページの DoS 脆弱性 [rhint-camel-spring-boot-3.18]

CSB-1732

undertow のバージョン更新 (2.2.24.SP1-redhat-00001) 後に CXF テストが失敗する

CSB-1821

CAMEL-19421 のバックポート - Camel-Jira: ファイルを直接作成する代わりに、FileConverter で Files.createTempFile を使用する

CSB-1947

CXF TrustedAuthorityValidatorTest の失敗

5.4.3. Camel Spring Boot バージョン 3.20 で修正された問題

次の表に、Camel Spring Boot バージョン 3.20 で解決されたバグを示します。

表5.3 Camel Spring Boot バージョン 3.20 で解決されたバグ

問題説明

CSB-656

CVE-2022-25857 snakeyaml: コレクションのネストされた深さ制限の欠如によるサービス拒否 [rhint-camel-spring-boot-3]

CSB-699

CVE-2022-40156 xstream: XML データをシリアライズする Xstream がサービス拒否攻撃に対して脆弱である [rhint-camel-spring-boot-3]

CSB-702

CVE-2022-40152 woodstox-core: XML データをシリアライズする woodstox がサービス拒否攻撃に対して脆弱である [rhint-camel-spring-boot-3]

CSB-703

CVE-2022-40151 xstream: XML データをシリアライズする Xstream がサービス拒否攻撃に対して脆弱である [rhint-camel-spring-boot-3]

CSB-714

CVE-2022-38752 snakeyaml: java.base/java.util.ArrayList.hashCode の捕捉されなかった例外 [rhint-camel-spring-boot-3]

CSB-715

CVE-2022-38751 snakeyaml: java.base/java.util.regex.Pattern$Ques.match で例外がキャッチされない [rhint-camel-spring-boot-3]

CSB-716

CVE-2022-38750 snakeyaml: org.yaml.snakeyaml.constructor.BaseConstructor.constructObject で例外がキャッチされない [rhint-camel-spring-boot-3]

CSB-717

CVE-2022-38749 snakeyaml: org.yaml.snakeyaml.composer.Composer.composeSequenceNode で例外がキャッチされない [rhint-camel-spring-boot-3]

CSB-719

CVE-2022-42003 jackson-databind: UNWRAP_SINGLE_VALUE_ARRAYS に関する深いラッパー配列のネスト [rhint-camel-spring-boot-3]

CSB-720

CVE-2022-42004 jackson-databind: 深くネストされた配列の使用 [rhint-camel-spring-boot-3]

CSB-721

CVE-2022-41852 JXPath: 信頼できない XPath 式が RCE 攻撃につながる可能性がある [rhint-camel-spring-boot-3]

CSB-722

CVE-2022-41853 hsqldb: 信頼できない入力が RCE 攻撃につながる可能性がある [rhint-camel-spring-boot-3]

CSB-751

CVE-2022-33681 org.apache.pulsar-pulsar-client: Apache Pulsar: Java クライアントおよびプロキシーでの不適切なホスト名検証により、MITM 経由で認証データが公開される可能性がある [rhint-camel-spring-boot-3]

CSB-794

CVE-2022-40150 jettison: ユーザー指定の XML または JSON データによるメモリー枯渇 [rhint-camel-spring-boot-3]

CSB-811

CVE-2022-39368 scandium: DTLS ハンドシェイクの失敗により、レコードの処理がブロックされるスロットリングが発生する可能性がある [rhint-camel-spring-boot-3]

CSB-813

CVE-2022-31777 apache-spark: ログビューアー UI JavaScript の XSS 脆弱性 [rhint-camel-spring-boot-3]

CSB-819

camel-kafka-starter: KafkaConsumerHealthCheckIT が機能していない

CSB-820

l2x6 cq-maven-plugin が camel-avro-rpc-component の誤ったバージョンを設定する

CSB-851

camel-cxf-rest-starter: EchoService は JDK 17 のインターフェイスエラーではありません。

CSB-852

camel-infinispan-starter: FIPS が有効な環境でテストが失敗する

CSB-883

CVE-2022-37866 apache-ivy: Apache Ivy: Ivy パストラバーサル [rhint-camel-spring-boot-3]

CSB-904

CVE-2022-41881 codec-haproxy: HAProxyMessageDecoder スタック枯渇 DoS [rhint-camel-spring-boot-3]

CSB-905

CVE-2022-41854 dev-java-snakeyaml: dev-java/snakeyaml: スタックオーバーフローによる DoS [rhint-camel-spring-boot-3]

CSB-906

[archetype] openshift プロファイルの OMP バージョン

CSB-929

CVE-2022-38648 batik: サーバーサイドリクエストフォージェリ [rhint-camel-spring-boot-3]

CSB-930

CVE-2022-38398 batik: サーバーサイドリクエストフォージェリ [rhint-camel-spring-boot-3]

CSB-931

CVE-2022-40146 batik: サーバーサイドリクエストフォージェリ (SSRF) の脆弱性 [rhint-camel-spring-boot-3]

CSB-942

CVE-2022-4492 undertow: https 接続のサーバー ID が undertow クライアントによってチェックされない [rhint-camel-spring-boot-3]

CSB-1203

CVE-2022-45047 sshd-common: mina-sshd: Java の安全ではない逆シリアル化の脆弱性

CSB-1239

SAP クイックスタート spring-boot の例には循環参照がある

CSB-1242

FIPS モードで openJDK11 を使用して実行すると、camel-salesforce-maven-plugin:3.20.1 が失敗する

CSB-1274

CVE-2021-37533 apache-commons-net: FTP クライアントはデフォルトで PASV 応答からのホストを信頼する [rhint-camel-spring-boot-3]

CSB-1334

CVE-2023-24998 tomcat: Apache Commons FileUpload: 過剰な部分を含む FileUpload DoS [rhint-camel-spring-boot-3]

CSB-1335

CVE-2022-41966 xstream: 要素のハッシュ値に基づいて再帰的なコレクションまたはマップを挿入することによるサービス拒否によりスタックオーバーフローが発生する [rhint-camel-spring-boot-3]

CSB-1373

FIPS モード: 一部の camel コンポーネントでの無効なアルゴリズムとセキュリティーの問題

CSB-1404

BOM 内の Spring Boot バージョンが誤っている

CSB-1436

CVE-2023-20860 springframework: 接頭辞のないダブルワイルドカードパターンによるセキュリティーバイパス [rhint-camel-spring-boot-3]

CSB-1437

CVE-2023-20861 springframework: Spring Expression DoS 脆弱性 [rhint-camel-spring-boot-3]

CSB-1441

CVE-2022-42890 batik: Apache XML Graphics Batik で信頼できないコードが実行される [rhint-camel-spring-boot-3]

CSB-1442

CVE-2022-41704 batik: Apache XML Graphics Batik が SVG 経由のコード実行に脆弱 [rhint-camel-spring-boot-3]

CSB-1443

CVE-2022-37865 apache-ivy: ディレクトリートラバーサル [rhint-camel-spring-boot-3]

CSB-1444

CVE-2023-22602 shiro-core: shiro: 特別に細工された HTTP リクエストによる認証バイパス [rhint-camel-spring-boot-3]

CSB-1482

CVE-2023-1436 jettison: JSONArray での制御できない再帰 [rhint-camel-spring-boot-3]

CSB-1499

camel-openapi-rest-dsl-generator によって生成されたクラスは jar に追加されない

CSB-1533

[cxfrs-component] camel-cxf-rest-starter needs cxf-spring-boot-autoconfigure

CSB-1536

CVE-2023-20863 springframework: Spring Expression DoS 脆弱性 [rhint-camel-spring-boot-3.14]

CSB-1540

CVE-2023-1370 json-smart: json-smart の制御できないリソース消費の脆弱性 (リソース枯渇) [rhint-camel-spring-boot-3.18]

5.4.4. Camel Spring Boot バージョン 3.18 パッチ 1 で修正された問題

次の表に、Camel Spring Boot バージョン 3.18 パッチ 1 で解決されたバグを示します。

表5.4 Camel Spring Boot バージョン 3.18 パッチ 1 で解決されたバグ

問題説明

CSB-1537

CVE-2023-20863 springframework: Spring Expression DoS 脆弱性 [rhint-camel-spring-boot-3.18]

CSB-1539

CVE-2023-1370 json-smart: json-smart の制御できないリソース消費の脆弱性 (リソース枯渇) [rhint-camel-spring-boot-3.14]