第7章 修正された CVE
-
CVE-2018-7489:
jackson-databind
: CVE-2017-7525 の修正が不完全なため、c3p0 ライブラリーを介した安全でないシリアル化が許可されます -
CVE-2018-1000632:
dom4j
: 以下における XML インジェクション。クラス: Elementメソッド: XML ドキュメントの整合性に影響を与える addElement、addAttribut -
CVE-2019-9511:
undertow
: HTTP/2: データリクエストが増大すると、サービス拒否が発生 -
CVE-2019-9512:
undertow
: HTTP/2: PING フレームを使用したフラッドにより、無限のメモリー増大が発生 -
CVE-2019-9514:
undertow
: HTTP/2: HEADERS フレームを使用したフラッドにより、無限のメモリー増大が発生 -
CVE-2019-9515:
undertow
: HTTP/2: SETTINGS フレームを使用したフラッドにより、無限のメモリー増大が発生 -
CVE-2019-10219:
hibernate-validator
: safeHTML バリデーターが XSS を許可 -
CVE-2019-19343:
undertow
: リモーティング接続を断続的に保持することによる Undertow HttpOpenListener のメモリー漏洩 -
CVE-2019-14838:
wildfly-core
: デフォルトの 'Monitor'、'Auditor'、'Deployer'ユーザーの正しくない特権 -
CVE-2019-14885:
JBoss EAP
: vault システムプロパティーセキュリティー属性は、CLI 'reload' コマンドで表示されます。 -
CVE-2019-16869:
netty
: HTTP ヘッダーのコロンの前に空白を誤って配置することによる HTTP リクエストスマグリング -
CVE-2019-16942:
jackson-databind
: commons-dbcp パッケージのクラスにおけるシリアル化ガジェット -
CVE-2019-16943:
jackson-databind
: commons-dbcp パッケージのクラスにおけるシリアル化ガジェット