5.4. Camel Spring Boot 해결 문제
다음 섹션에서는 Camel Spring Boot에서 수정된 문제를 설명합니다.
5.4.1. Camel Spring Boot 버전 3.20.1.1 문제 해결
다음 표에는 Camel Spring Boot 버전 3.20.1.1의 해결된 버그가 나열되어 있습니다.
표 5.1. Camel Spring Boot 버전 3.20.1.1 버그 해결
| 문제 | 설명 |
|---|---|
| CVE-2022-31690 spring-security-oauth2-client: Privilege Escalation in spring-security-oauth2-client [rhint-camel-spring-boot-3] | |
| CVE-2023-20883 Spring Boot welcome Page DoS 취약점 [rhint-camel-spring-boot-3.20] | |
| CVE-2023-24815 vertx-web: StaticHandler 공개 클래스 경로 리소스를 와일드카드 경로에 마운트할 때 [rhint-camel-spring-boot-3.20] | |
| CXF TrustedAuthorityValidatorTest 실패 | |
| Backport CAMEL-19421 - Camel-Jira: 직접 파일을 생성하는 대신 FileConverter에서 Files.createTempFile 사용 |
5.4.2. Camel Spring Boot 버전 3.18.3.1 문제 해결
다음 표에는 Camel Spring Boot 버전 3.18.3.1의 해결된 버그가 나열되어 있습니다.
표 5.2. Camel Spring Boot 버전 3.18.3.1 버그 해결
| 문제 | 설명 |
|---|---|
| CVE-2022-25857 snakeyaml: 컬렉션에 대한 중첩된 깊이 제한이 누락되어 서비스 거부 [rhint-camel-spring-boot-3] | |
| CVE-2022-38752 snakeyaml: java.base/java.util.ArrayList.hashCode [rhint-camel-spring-boot-3]에서 Uncaught 예외 | |
| CVE-2022-38751 snakeyaml: java.base/java.util.regex.Pattern$Ques.match [rhint-camel-spring-boot-3]에서 Uncaught 예외 | |
| CVE-2022-38750 snakeyaml: org.yaml.snakeyaml.constructor.BaseConstructor.constructor.constructObject [rhint-camel-spring-boot-3]의 Uncaught 예외 | |
| CVE-2022-38749 snakeyaml: org.yaml.snakeyaml.composer.composeSequenceNode [rhint-camel-spring-boot-3]의 Uncaught 예외 | |
| CVE-2022-42003 jackson-databind: Wrt UNWRAP_SINGLE_VALUE_ARRAYS [rhint-camel-spring-boot-3] | |
| CVE-2022-42004 jackson-databind: 깊이 중첩된 배열 사용 [rhint-camel-spring-boot-3] | |
| CVE-2023-1370 json-smart: json-smart (Resource Exhaustion) [rhint-camel-spring-boot-3.18]의 제어되지 않은 리소스 사용량 취약성 | |
| CVE-2023-1436 jettison: Un controlled Recursion in JSONArray [rhint-camel-spring-boot-3] | |
| CVE-2022-46364 CXF: SSRF 취약점 [rhint-camel-spring-boot-3] | |
| CVE-2022-46363 CXF: Directory listing / code exfiltration [rhint-camel-spring-boot-3] | |
| CVE-2022-45047 sshd-common: mina-sshd: Java 안전하지 않은 역직렬화 취약점 | |
| CVE-2022-25857 snakeyaml: 컬렉션에 대한 중첩된 깊이 제한이 누락되어 서비스 거부 [rhint-camel-spring-boot-3] | |
| CVE-2022-41854 dev-java-snakeyaml: dev-java/snakeyaml: 스택 오버플로를 통한 DoS [rhint-camel-spring-boot-3] | |
| CVE-2022-40156 xstream: XML 데이터를 직렬화하는 Xstream은 서비스 거부 공격에 취약합니다 [rhint-camel-spring-boot-3] | |
| CVE-2022-40152 buildingstox-core: XML 데이터를 직렬화하기 위한 growstox는 서비스 거부 공격 [rhint-camel-spring-boot-3]에 취약했습니다. | |
| CVE-2023-20883 Spring Boot welcome Page DoS 취약점 [rhint-camel-spring-boot-3.18] | |
| undertow 버전 2.2.24.SP1-redhat-00001 이후 CXF 테스트 실패 | |
| Backport CAMEL-19421 - Camel-Jira: 직접 파일을 생성하는 대신 FileConverter에서 Files.createTempFile 사용 | |
| CXF TrustedAuthorityValidatorTest 실패 |
5.4.3. Camel Spring Boot 버전 3.20 해결 문제
다음 표에는 Camel Spring Boot 버전 3.20의 해결된 버그가 나열되어 있습니다.
표 5.3. Camel Spring Boot 버전 3.20 해결 버그
| 문제 | 설명 |
|---|---|
| CVE-2022-25857 snakeyaml: 컬렉션에 대한 중첩된 깊이 제한이 누락되어 서비스 거부 [rhint-camel-spring-boot-3] | |
| CVE-2022-40156 xstream: XML 데이터를 직렬화하는 Xstream은 서비스 거부 공격에 취약합니다 [rhint-camel-spring-boot-3] | |
| CVE-2022-40152 buildingstox-core: XML 데이터를 직렬화하기 위한 growstox는 서비스 거부 공격 [rhint-camel-spring-boot-3]에 취약했습니다. | |
| CVE-2022-40151 xstream: XML 데이터를 직렬화하는 Xstream은 서비스 거부 공격에 취약합니다 [rhint-camel-spring-boot-3] | |
| CVE-2022-38752 snakeyaml: java.base/java.util.ArrayList.hashCode [rhint-camel-spring-boot-3]에서 Uncaught 예외 | |
| CVE-2022-38751 snakeyaml: java.base/java.util.regex.Pattern$Ques.match [rhint-camel-spring-boot-3]에서 Uncaught 예외 | |
| CVE-2022-38750 snakeyaml: org.yaml.snakeyaml.constructor.BaseConstructor.constructor.constructObject [rhint-camel-spring-boot-3]의 Uncaught 예외 | |
| CVE-2022-38749 snakeyaml: org.yaml.snakeyaml.composer.composeSequenceNode [rhint-camel-spring-boot-3]의 Uncaught 예외 | |
| CVE-2022-42003 jackson-databind: Wrt UNWRAP_SINGLE_VALUE_ARRAYS [rhint-camel-spring-boot-3] | |
| CVE-2022-42004 jackson-databind: 깊이 중첩된 배열 사용 [rhint-camel-spring-boot-3] | |
| CVE-2022-41852 JXPath: untrusted Cryostat 표현식은 RCE 공격 [rhint-camel-spring-boot-3]으로 이어질 수 있습니다. | |
| CVE-2022-41853 hsqldb: 신뢰할 수 없는 입력로 인해 RCE 공격 [rhint-camel-spring-boot-3]이 발생할 수 있습니다. | |
| CVE-2022-33681 org.apache.pulsar-client: Apache Pulsar: Improper Hostname Verification in Java Client and Proxy can expose authentication data via MITM [rhint-camel-spring-boot-3] | |
| CVE-2022-40150 jettison: 사용자 제공 XML 또는 JSON 데이터를 통한 메모리 소진 [rhint-camel-spring-boot-3] | |
| CVE-2022-39368 scandium: DTLS 핸드셰이크를 사용하면 throttling이 레코드 처리를 차단할 수 있습니다 [rhint-camel-spring-boot-3] | |
| CVE-2022-31777 apache-spark: 로그 뷰어 UI JavaScript의 XSS 취약점 [rhint-camel-spring-boot-3] | |
| Camel-kafka-starter: KafkaConsumerHealthCheckIT가 작동하지 않음 | |
| l2x6 cq-maven-plugin 설정 잘못된 버전의 camel-avro-rpc-component | |
| Camel-cxf-rest-starter: EchoService는 JDK 17에서 인터페이스 오류가 아닙니다. | |
| Camel-infinispan-starter : FIPS가 활성화된 환경에서 테스트 실패 | |
| CVE-2022-37866 apache-ivy: Apache Ivy: Ivy Path traversal [rhint-camel-spring-boot-3] | |
| CVE-2022-41881 codec-haproxy: HAProxyMessageDecoder Stack Exhaustion DoS [rhint-camel-spring-boot-3] | |
| CVE-2022-41854 dev-java-snakeyaml: dev-java/snakeyaml: 스택 오버플로를 통한 DoS [rhint-camel-spring-boot-3] | |
| [archetype] openshift 프로필의 OMP 버전 | |
| CVE-2022-38648 extensionik: Server-Side Request Forgery [rhint-camel-spring-boot-3] | |
| CVE-2022-38398 CASTik: Server-Side Request Forgery [rhint-camel-spring-boot-3] | |
| CVE-2022-40146 Cryostatik: Server-Side Request Forgery (SSRF) 취약점 [rhint-camel-spring-boot-3] | |
| CVE-2022-4492 undertow: https 연결의 서버 ID는 undertow 클라이언트에서 확인할 수 없습니다 [rhint-camel-spring-boot-3] | |
| CVE-2022-45047 sshd-common: mina-sshd: Java 안전하지 않은 역직렬화 취약점 | |
| SAP 빠른 시작 스프링 부팅 예제에는 원형 참조가 있습니다. | |
| FIPS 모드에서 openJDK11을 실행하면 camel-salesforce-maven-plugin:3.20.1이 실패합니다. | |
| CVE-2021-37533 apache-commons-net: FTP 클라이언트는 기본적으로 PASV 응답에서 호스트를 신뢰합니다. [rhint-camel-spring-boot-3] | |
| CVE-2023-24998 tomcat: Apache Commons FileUpload: FileUpload DoS with excessive parts [rhint-camel-spring-boot-3] | |
| CVE-2022-41966 xstream: 스택 오버플로를 유발하는 요소의 해시 값을 기반으로 재귀 컬렉션 또는 맵을 삽입하여 서비스 거부 [rhint-camel-spring-boot-3] | |
| FIPS-mode: 일부 camel 구성 요소에서 잘못된 alorythms & 보안 문제 | |
| BOM의 Spring Boot 버전이 잘못되었습니다. | |
| CVE-2023-20860 Springframework: Security Bypass with Un-Prefixed double Wildcard Pattern [rhint-camel-spring-boot-3] | |
| CVE-2023-20861 Spring Expression DoS 취약점 [rhint-camel-spring-boot-3] | |
| CVE-2022-42890 extensionik: Apache XML Graphics Batik [rhint-camel-spring-boot-3]에서 신뢰할 수 없는 코드 실행 | |
| CVE-2022-41704 extensionik: Apache XML Graphics Batik는 SVG [rhint-camel-spring-boot-3]을 통해 코드 실행에 취약합니다. | |
| CVE-2022-37865 apache-ivy: Directoryversal [rhint-camel-spring-boot-3] | |
| CVE-2023-22602 shiro-core: shiro: 특수하게 조작된 HTTP 요청을 통한 인증 우회 [rhint-camel-spring-boot-3] | |
| CVE-2023-1436 jettison: Un controlled Recursion in JSONArray [rhint-camel-spring-boot-3] | |
| camel-openapi-rest-dsl-generator로 생성된 클래스는 Cryostat에 추가되지 않습니다. | |
| [cxfrs-component] camel-cxf-rest-starter 필요 cxf-spring-boot-autoconfigure | |
| CVE-2023-20863 Spring Expression DoS 취약점 [rhint-camel-spring-boot-3.14] | |
| CVE-2023-1370 json-smart: json-smart (Resource Exhaustion) [rhint-camel-spring-boot-3.18]의 제어되지 않은 리소스 사용량 취약성 |
5.4.4. Camel Spring Boot 버전 3.18 패치 1 문제 해결
다음 표에는 Camel Spring Boot 버전 3.18 패치 1의 해결된 버그가 나열되어 있습니다.