第 6 章 修复了常见漏洞和风险

本节详细介绍了 AMQ Broker 7.9 发行版本中修复的通用漏洞和风险(CVE)。

  • ENTMQBR-4071 - CVE-2020-13956 httpclient: apache-httpclient: 在请求 URI 中处理不正确的授权组件
  • ENTMQBR-4677 - CVE-2021-21290 netty:通过本地系统临时目录披露信息
  • ENTMQBR-4775 - CVE-2020-27223 jetty: 包含多个 Accept 标头的请求(带有大量"质量"参数)可能会导致 DoS
  • ENTMQBR-4779 - CVE-2021-3425 代理:Red Hat AMQ Broker:在应用程序日志文件中释放 JDBC 用户名和密码
  • ENTMQBR-4795 - CVE-2021-21295 netty: 在 HTTP/2 中因为缺少验证而可能的请求发生
  • ENTMQBR-4829 - CVE-2021-21409 netty:通过 content-length 标头请求调用
  • ENTMQBR-4907 - CVE-2021-28163 jetty-server: jetty:symlink 目录公开 webapp 目录内容
  • ENTMQBR-4911 - CVE-2021-28165 jetty-server: jetty:在接收无效的大型 TLS 帧时耗尽资源
  • ENTMQBR-4912 - CVE-2021-28164 jetty-server: jetty:模糊路径可以访问 WEB-INF
  • ENTMQBR-4960 - CVE-2021-29425 commons-io: apache-commons-io:Apache Commons IO 2.2 到 2.6 中的有限路径
  • ENTMQBR-5118 - CVE-2021-28169 jetty-server: jetty: 对 ConcatServlet 和 WelcomeFilter 的请求能够访问 WEB-INF 目录中受保护的资源
  • ENTMQBR-5165 - CVE-2021-34428 jetty-server: jetty:SessionListener 可以防止会话被无效的破坏注销
  • ENTMQBR-5229 - CVE-2021-20289 resteasy-jaxrs: resteasy:错误消息公开端点类信息
  • ENTMQBR-5250 - CVE-2021-34429 jetty-server: jetty: 精心设计的 URI 允许绕过安全约束
  • ENTMQBR-5398 - CVE-2021-3763 AMQ Broker 7:管理控制台中的权限不正确