1.2.8. OpenShift Logging 5.0.3

此发行版本包括 RHSA-2021:1515 - 安全公告。重要的 OpenShift Logging 程序错误修复版本 (5.0.3)

1.2.8.1. 安全修复

  • jackson-databind: slf4j-ext 类中的任意代码执行(CVE-2018-14718
  • jackson-databind: blaze-ds-opt 和 blaze-ds-core 类中的任意代码执行(CVE-2018-14719
  • jackson-databind:在某些 JDK 类中进行过滤/XXE(CVE-2018-14720
  • jackson-databind:axis2-jaxws 类中的服务器端请求伪造(SSRF)(CVE-2018-14721)
  • jackson-databind: axis2-transport-jms 类中的不正确的 polymorphic deserialization(CVE-2018-19360
  • jackson-databind: openjpa 类中的不正确的 polymorphic deserialization(CVE-2018-19361
  • jackson-databind: jboss-common-core 类中的不正确的 polymorphic deserialization(CVE-2018-19362
  • jackson-databind:默认输入错误处理导致执行远程代码(CVE-2019-14379
  • jackson-databind:com.pastdev.httpcomponents.configuration.JndiConfiguration 中的 serialization gadgets(CVE-2020-24750
  • Jackson-databind:错误地处理与 org.apache.commons.dbcp2.datasources.PerUserPoolDataSource(CVE-2020-35490)相关的序列化 gadget 和输入之间的交互
  • Jackson-databind:错误处理与 org.apache.commons.dbcp2.datasources.SharedPoolDataSource(CVE-2020-35491)相关的序列化 gadget 和输入之间的交互
  • Jackson-databind:错误处理与 com.oracle.wls.shaded.org.apache.xalan.lib.sql.JNDIConnectionPool(CVE-2020-35728
  • Jackson-databind:错误处理与 oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS(CVE-2020-36179
  • Jackson-databind:错误地处理与 org.apache.commons.dbcp2.cpdsadapter.DriverAdapterCPDS(CVE-2020-36180
  • Jackson-databind:错误地处理与 org.apache.tomcat.dbcp.dbcp.cpdsadapter.DriverAdapterCPDS(CVE-2020-36181
  • Jackson-databind:错误地处理与 org.apache.tomcat.dbcp.dbcp2.cpdsadapter.DriverAdapterCPDS(CVE-2020-36182
  • Jackson-databind:错误处理序列化 gadgets 和输入与 org.docx4j.org.apache.xalan.lib.sql.JNDIConnectionPool(CVE-2020-36183
  • Jackson-databind:错误地处理与 org.apache.tomcat.dbcp.dbcp2.datasources.PerUserPoolDataSource(CVE-2020-36184)相关的序列化 gadget 和输入的交互
  • Jackson-databind:错误地处理与 org.apache.tomcat.dbcp.dbcp2.datasources.SharedPoolDataSource(CVE-2020-36185
  • jackson-databind:与 org.apache.tomcat.dbcp.dbcp.datasources.PerUserPoolDataSource 相关的,在 serialization gadgets 和 typing 间交互的错误处理(CVE-2020-36186
  • jackson-databind:与 org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSource 相关的,在 serialization gadgets 和 typing 间交互的错误处理(CVE-2020-36187
  • jackson-databind:与 com.newrelic.agent.deps.ch.qos.logback.core.db.JNDIConnectionSource 相关的,在 serialization gadgets 和 typing 间交互的错误处理(CVE-2020-36188
  • jackson-databind:与 com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManagerConnectionSource 相关的,在 serialization gadgets 和 typing 间交互的错误处理(CVE-2020-36189
  • jackson-databind:与 javax.swing 相关的,在 serialization gadgets 和 typing 间的交互的错误处理(CVE-2021-20190
  • golang:在特定包括了 ReverseProxy 的 net/http 服务器中的数据竞争可能会导致 DoS(CVE-2020-15586
  • golang:ReadUvarint 和 ReadVarint 可以从无效的输入中读取没有限制的字节数(CVE-2020-16845
  • OpenJDK:不完整的 JAR 签名禁用算法的强制实施(Librial, 8249906)(CVE-2021-2163

以下 Jira 包含上述 CVE:

  • LOG-1234 CVE-2020-15586 CVE-2020-16845 openshift-eventrouter: various flaws [openshift-4].(LOG-1234)
  • LOG-1243 CVE-2018-14718 CVE-2018-14719 CVE-2018-14720 CVE-2018-14721 CVE-2018-19360 CVE-2018-19361 CVE-2018-19362 CVE-2019-14379 CVE-2020-35490 CVE-2020-35491 CVE-2020-35728…​ logging-elasticsearch6-container: various flaws [openshift-logging-5.0].(LOG-1243)