5.4. Camel Spring Boot 해결 문제

다음 섹션에서는 Camel Spring Boot에서 수정된 문제를 설명합니다.

5.4.1. Camel Spring Boot 버전 3.20.1.1 문제 해결

다음 표에는 Camel Spring Boot 버전 3.20.1.1의 해결된 버그가 나열되어 있습니다.

표 5.1. Camel Spring Boot 버전 3.20.1.1 버그 해결

문제설명

CSB-1524

CVE-2022-31690 spring-security-oauth2-client: Privilege Escalation in spring-security-oauth2-client [rhint-camel-spring-boot-3]

CSB-1718

CVE-2023-20883 Spring Boot welcome Page DoS 취약점 [rhint-camel-spring-boot-3.20]

CSB-1719

CVE-2023-24815 vertx-web: StaticHandler 공개 클래스 경로 리소스를 와일드카드 경로에 마운트할 때 [rhint-camel-spring-boot-3.20]

CSB-1760

CXF TrustedAuthorityValidatorTest 실패

CSB-1821

Backport CAMEL-19421 - Camel-Jira: 직접 파일을 생성하는 대신 FileConverter에서 Files.createTempFile 사용

5.4.2. Camel Spring Boot 버전 3.18.3.1 문제 해결

다음 표에는 Camel Spring Boot 버전 3.18.3.1의 해결된 버그가 나열되어 있습니다.

표 5.2. Camel Spring Boot 버전 3.18.3.1 버그 해결

문제설명

CSB-656

CVE-2022-25857 snakeyaml: 컬렉션에 대한 중첩된 깊이 제한이 누락되어 서비스 거부 [rhint-camel-spring-boot-3]

CSB-714

CVE-2022-38752 snakeyaml: java.base/java.util.ArrayList.hashCode [rhint-camel-spring-boot-3]에서 Uncaught 예외

CSB-715

CVE-2022-38751 snakeyaml: java.base/java.util.regex.Pattern$Ques.match [rhint-camel-spring-boot-3]에서 Uncaught 예외

CSB-716

CVE-2022-38750 snakeyaml: org.yaml.snakeyaml.constructor.BaseConstructor.constructor.constructObject [rhint-camel-spring-boot-3]의 Uncaught 예외

CSB-717

CVE-2022-38749 snakeyaml: org.yaml.snakeyaml.composer.composeSequenceNode [rhint-camel-spring-boot-3]의 Uncaught 예외

CSB-719

CVE-2022-42003 jackson-databind: Wrt UNWRAP_SINGLE_VALUE_ARRAYS [rhint-camel-spring-boot-3]

CSB-720

CVE-2022-42004 jackson-databind: 깊이 중첩된 배열 사용 [rhint-camel-spring-boot-3]

CSB-1540

CVE-2023-1370 json-smart: json-smart (Resource Exhaustion) [rhint-camel-spring-boot-3.18]의 제어되지 않은 리소스 사용량 취약성

CSB-1702

CVE-2023-1436 jettison: Un controlled Recursion in JSONArray [rhint-camel-spring-boot-3]

CSB-1703

CVE-2022-46364 CXF: SSRF 취약점 [rhint-camel-spring-boot-3]

CSB-1704

CVE-2022-46363 CXF: Directory listing / code exfiltration [rhint-camel-spring-boot-3]

CSB-1705

CVE-2022-45047 sshd-common: mina-sshd: Java 안전하지 않은 역직렬화 취약점

CSB-1711

CVE-2022-25857 snakeyaml: 컬렉션에 대한 중첩된 깊이 제한이 누락되어 서비스 거부 [rhint-camel-spring-boot-3]

CSB-1712

CVE-2022-41854 dev-java-snakeyaml: dev-java/snakeyaml: 스택 오버플로를 통한 DoS [rhint-camel-spring-boot-3]

CSB-1713

CVE-2022-40156 xstream: XML 데이터를 직렬화하는 Xstream은 서비스 거부 공격에 취약합니다 [rhint-camel-spring-boot-3]

CSB-1714

CVE-2022-40152 buildingstox-core: XML 데이터를 직렬화하기 위한 growstox는 서비스 거부 공격 [rhint-camel-spring-boot-3]에 취약했습니다.

CSB-1717

CVE-2023-20883 Spring Boot welcome Page DoS 취약점 [rhint-camel-spring-boot-3.18]

CSB-1732

undertow 버전 2.2.24.SP1-redhat-00001 이후 CXF 테스트 실패

CSB-1821

Backport CAMEL-19421 - Camel-Jira: 직접 파일을 생성하는 대신 FileConverter에서 Files.createTempFile 사용

CSB-1947

CXF TrustedAuthorityValidatorTest 실패

5.4.3. Camel Spring Boot 버전 3.20 해결 문제

다음 표에는 Camel Spring Boot 버전 3.20의 해결된 버그가 나열되어 있습니다.

표 5.3. Camel Spring Boot 버전 3.20 해결 버그

문제설명

CSB-656

CVE-2022-25857 snakeyaml: 컬렉션에 대한 중첩된 깊이 제한이 누락되어 서비스 거부 [rhint-camel-spring-boot-3]

CSB-699

CVE-2022-40156 xstream: XML 데이터를 직렬화하는 Xstream은 서비스 거부 공격에 취약합니다 [rhint-camel-spring-boot-3]

CSB-702

CVE-2022-40152 buildingstox-core: XML 데이터를 직렬화하기 위한 growstox는 서비스 거부 공격 [rhint-camel-spring-boot-3]에 취약했습니다.

CSB-703

CVE-2022-40151 xstream: XML 데이터를 직렬화하는 Xstream은 서비스 거부 공격에 취약합니다 [rhint-camel-spring-boot-3]

CSB-714

CVE-2022-38752 snakeyaml: java.base/java.util.ArrayList.hashCode [rhint-camel-spring-boot-3]에서 Uncaught 예외

CSB-715

CVE-2022-38751 snakeyaml: java.base/java.util.regex.Pattern$Ques.match [rhint-camel-spring-boot-3]에서 Uncaught 예외

CSB-716

CVE-2022-38750 snakeyaml: org.yaml.snakeyaml.constructor.BaseConstructor.constructor.constructObject [rhint-camel-spring-boot-3]의 Uncaught 예외

CSB-717

CVE-2022-38749 snakeyaml: org.yaml.snakeyaml.composer.composeSequenceNode [rhint-camel-spring-boot-3]의 Uncaught 예외

CSB-719

CVE-2022-42003 jackson-databind: Wrt UNWRAP_SINGLE_VALUE_ARRAYS [rhint-camel-spring-boot-3]

CSB-720

CVE-2022-42004 jackson-databind: 깊이 중첩된 배열 사용 [rhint-camel-spring-boot-3]

CSB-721

CVE-2022-41852 JXPath: untrusted Cryostat 표현식은 RCE 공격 [rhint-camel-spring-boot-3]으로 이어질 수 있습니다.

CSB-722

CVE-2022-41853 hsqldb: 신뢰할 수 없는 입력로 인해 RCE 공격 [rhint-camel-spring-boot-3]이 발생할 수 있습니다.

CSB-751

CVE-2022-33681 org.apache.pulsar-client: Apache Pulsar: Improper Hostname Verification in Java Client and Proxy can expose authentication data via MITM [rhint-camel-spring-boot-3]

CSB-794

CVE-2022-40150 jettison: 사용자 제공 XML 또는 JSON 데이터를 통한 메모리 소진 [rhint-camel-spring-boot-3]

CSB-811

CVE-2022-39368 scandium: DTLS 핸드셰이크를 사용하면 throttling이 레코드 처리를 차단할 수 있습니다 [rhint-camel-spring-boot-3]

CSB-813

CVE-2022-31777 apache-spark: 로그 뷰어 UI JavaScript의 XSS 취약점 [rhint-camel-spring-boot-3]

CSB-819

Camel-kafka-starter: KafkaConsumerHealthCheckIT가 작동하지 않음

CSB-820

l2x6 cq-maven-plugin 설정 잘못된 버전의 camel-avro-rpc-component

CSB-851

Camel-cxf-rest-starter: EchoService는 JDK 17에서 인터페이스 오류가 아닙니다.

CSB-852

Camel-infinispan-starter : FIPS가 활성화된 환경에서 테스트 실패

CSB-883

CVE-2022-37866 apache-ivy: Apache Ivy: Ivy Path traversal [rhint-camel-spring-boot-3]

CSB-904

CVE-2022-41881 codec-haproxy: HAProxyMessageDecoder Stack Exhaustion DoS [rhint-camel-spring-boot-3]

CSB-905

CVE-2022-41854 dev-java-snakeyaml: dev-java/snakeyaml: 스택 오버플로를 통한 DoS [rhint-camel-spring-boot-3]

CSB-906

[archetype] openshift 프로필의 OMP 버전

CSB-929

CVE-2022-38648 extensionik: Server-Side Request Forgery [rhint-camel-spring-boot-3]

CSB-930

CVE-2022-38398 CASTik: Server-Side Request Forgery [rhint-camel-spring-boot-3]

CSB-931

CVE-2022-40146 Cryostatik: Server-Side Request Forgery (SSRF) 취약점 [rhint-camel-spring-boot-3]

CSB-942

CVE-2022-4492 undertow: https 연결의 서버 ID는 undertow 클라이언트에서 확인할 수 없습니다 [rhint-camel-spring-boot-3]

CSB-1203

CVE-2022-45047 sshd-common: mina-sshd: Java 안전하지 않은 역직렬화 취약점

CSB-1239

SAP 빠른 시작 스프링 부팅 예제에는 원형 참조가 있습니다.

CSB-1242

FIPS 모드에서 openJDK11을 실행하면 camel-salesforce-maven-plugin:3.20.1이 실패합니다.

CSB-1274

CVE-2021-37533 apache-commons-net: FTP 클라이언트는 기본적으로 PASV 응답에서 호스트를 신뢰합니다. [rhint-camel-spring-boot-3]

CSB-1334

CVE-2023-24998 tomcat: Apache Commons FileUpload: FileUpload DoS with excessive parts [rhint-camel-spring-boot-3]

CSB-1335

CVE-2022-41966 xstream: 스택 오버플로를 유발하는 요소의 해시 값을 기반으로 재귀 컬렉션 또는 맵을 삽입하여 서비스 거부 [rhint-camel-spring-boot-3]

CSB-1373

FIPS-mode: 일부 camel 구성 요소에서 잘못된 alorythms & 보안 문제

CSB-1404

BOM의 Spring Boot 버전이 잘못되었습니다.

CSB-1436

CVE-2023-20860 Springframework: Security Bypass with Un-Prefixed double Wildcard Pattern [rhint-camel-spring-boot-3]

CSB-1437

CVE-2023-20861 Spring Expression DoS 취약점 [rhint-camel-spring-boot-3]

CSB-1441

CVE-2022-42890 extensionik: Apache XML Graphics Batik [rhint-camel-spring-boot-3]에서 신뢰할 수 없는 코드 실행

CSB-1442

CVE-2022-41704 extensionik: Apache XML Graphics Batik는 SVG [rhint-camel-spring-boot-3]을 통해 코드 실행에 취약합니다.

CSB-1443

CVE-2022-37865 apache-ivy: Directoryversal [rhint-camel-spring-boot-3]

CSB-1444

CVE-2023-22602 shiro-core: shiro: 특수하게 조작된 HTTP 요청을 통한 인증 우회 [rhint-camel-spring-boot-3]

CSB-1482

CVE-2023-1436 jettison: Un controlled Recursion in JSONArray [rhint-camel-spring-boot-3]

CSB-1499

camel-openapi-rest-dsl-generator로 생성된 클래스는 Cryostat에 추가되지 않습니다.

CSB-1533

[cxfrs-component] camel-cxf-rest-starter 필요 cxf-spring-boot-autoconfigure

CSB-1536

CVE-2023-20863 Spring Expression DoS 취약점 [rhint-camel-spring-boot-3.14]

CSB-1540

CVE-2023-1370 json-smart: json-smart (Resource Exhaustion) [rhint-camel-spring-boot-3.18]의 제어되지 않은 리소스 사용량 취약성

5.4.4. Camel Spring Boot 버전 3.18 패치 1 문제 해결

다음 표에는 Camel Spring Boot 버전 3.18 패치 1의 해결된 버그가 나열되어 있습니다.

표 5.4. Camel Spring Boot 버전 3.18 패치 1 버그 해결

문제설명

CSB-1537

CVE-2023-20863 Spring Expression DoS 취약점 [rhint-camel-spring-boot-3.18]

CSB-1539

CVE-2023-1370 json-smart: json-smart (Resource Exhaustion)의 제어되지 않은 리소스 사용 취약점 [rhint-camel-spring-boot-3.14]