1.4. Camel Spring Boot 修复的问题

以下小节列出了 Camel Spring Boot 中修复的问题。

1.4.1. Camel Spring Boot 版本 3.20.1.1 修复的问题

下表列出了 Camel Spring Boot 版本 3.20.1.1 中已解析的错误。

表 1.1. Camel Spring Boot 版本 3.20.1.1 Resolved Bugs

问题Description

CSB-1524

CVE-2022-31690 spring-security-oauth2-client: Privilege Escalation in spring-security-oauth2-client [rhint-camel-spring-boot-3]

CSB-1718

CVE-2023-20883 spring-boot: Spring Boot Welcome Page DoS Vulnerability [rhint-camel-spring-boot-3.20]

CSB-1719

CVE-2023-24815 vertx-web: StaticHandler 在 Windows 上分离,当挂载到通配符路由 [rhint-camel-spring-boot-3.20]

CSB-1760

CXF TrustedAuthorityValidatorTest failure

CSB-1821

backport CAMEL-19421 - Camel-Jira: 在 FileConverter 中使用 Files.createTempFile,而不是直接创建文件

1.4.2. Camel Spring Boot 版本 3.18.3.1 修复的问题

下表列出了 Camel Spring Boot 版本 3.18.3.1 中已解析的错误。

表 1.2. Camel Spring Boot 版本 3.18.3.1 解决的错误

问题Description

CSB-656

CVE-2022-25857 snakeyaml: Denial of Service,因为集合缺少嵌套深度限制 [rhint-camel-spring-boot-3]

CSB-714

CVE-2022-38752 snakeyaml: Uncaught exception in java.base/java.util.ArrayList.hashCode [rhint-camel-spring-boot-3]

CSB-715

CVE-2022-38751 snakeyaml: Uncaught exception in java.base/java.util.regex.Pattern$Ques.match [rhint-camel-spring-boot-3]

CSB-716

CVE-2022-38750 snakeyaml: Uncaught exception in org.yaml.snakeyaml.constructor.BaseConstructor.constructObject [rhint-camel-spring-boot-3]

CSB-717

CVE-2022-38749 snakeyaml: Uncaught exception in org.yaml.snakeyaml.composer.Composer.composeSequenceNode [rhint-camel-spring-boot-3]

CSB-719

CVE-2022-42003 jackson-databind: deep wrapper 数组嵌套 wrt UNWRAP_SINGLE_VALUE_ARRAYS [rhint-camel-spring-boot-3]

CSB-720

CVE-2022-42004 jackson-databind: 使用深度嵌套阵列 [rhint-camel-spring-boot-3]

CSB-1540

CVE-2023-1370 json-smart: json-smart (Resource Exhaustion)[rhint-camel-spring-boot-3.18] 中的不受控制的资源协调漏洞

CSB-1702

CVE-2023-1436 jettison: 在 JSONArray 中不受控制的递归 [rhint-camel-spring-boot-3]

CSB-1703

CVE-2022-46364 CXF: Apache CXF: SSRF Vulnerability [rhint-camel-spring-boot-3]

CSB-1704

CVE-2022-46363 CXF: Apache CXF: 目录列出 / 代码 exfiltration [rhint-camel-spring-boot-3]

CSB-1705

CVE-2022-45047 sshd-common: mina-sshd: Java 不安全反序列化漏洞

CSB-1711

CVE-2022-25857 snakeyaml: Denial of Service,因为集合缺少嵌套深度限制 [rhint-camel-spring-boot-3]

CSB-1712

CVE-2022-41854 dev-java-snakeyaml: dev-java/snakeyaml: DoS via stack overflow [rhint-camel-spring-boot-3]

CSB-1713

CVE-2022-40156 xstream: Xstream to serialise XML 数据受到服务攻击的影响 [rhint-camel-spring-boot-3]

CSB-1714

CVE-2022-40152 woodstox-core: woodstox 用来对 XML 数据进行序列化攻击[rhint-camel-spring-boot-3]

CSB-1717

CVE-2023-20883 spring-boot: Spring Boot Welcome Page DoS Vulnerability [rhint-camel-spring-boot-3.18]

CSB-1732

CXF 测试在 undertow 版本 update 2.2.24.SP1-redhat-00001 后失败

CSB-1821

backport CAMEL-19421 - Camel-Jira: 在 FileConverter 中使用 Files.createTempFile,而不是直接创建文件

CSB-1947

CXF TrustedAuthorityValidatorTest failure

1.4.3. Camel Spring Boot 版本 3.20 修复的问题

下表列出了 Camel Spring Boot 版本 3.20 中已解析的错误。

表 1.3. Camel Spring Boot 版本 3.20 解决的错误

问题Description

CSB-656

CVE-2022-25857 snakeyaml: Denial of Service,因为集合缺少嵌套深度限制 [rhint-camel-spring-boot-3]

CSB-699

CVE-2022-40156 xstream: Xstream to serialise XML 数据受到服务攻击的影响 [rhint-camel-spring-boot-3]

CSB-702

CVE-2022-40152 woodstox-core: woodstox 用来对 XML 数据进行序列化攻击[rhint-camel-spring-boot-3]

CSB-703

CVE-2022-40151 xstream: Xstream to serialise XML 数据受到服务攻击的影响 [rhint-camel-spring-boot-3]

CSB-714

CVE-2022-38752 snakeyaml: Uncaught exception in java.base/java.util.ArrayList.hashCode [rhint-camel-spring-boot-3]

CSB-715

CVE-2022-38751 snakeyaml: Uncaught exception in java.base/java.util.regex.Pattern$Ques.match [rhint-camel-spring-boot-3]

CSB-716

CVE-2022-38750 snakeyaml: Uncaught exception in org.yaml.snakeyaml.constructor.BaseConstructor.constructObject [rhint-camel-spring-boot-3]

CSB-717

CVE-2022-38749 snakeyaml: Uncaught exception in org.yaml.snakeyaml.composer.Composer.composeSequenceNode [rhint-camel-spring-boot-3]

CSB-719

CVE-2022-42003 jackson-databind: deep wrapper 数组嵌套 wrt UNWRAP_SINGLE_VALUE_ARRAYS [rhint-camel-spring-boot-3]

CSB-720

CVE-2022-42004 jackson-databind: 使用深度嵌套阵列 [rhint-camel-spring-boot-3]

CSB-721

CVE-2022-41852 JXPath: 不受信任的 XPath 表达式可能会导致 RCE 攻击 [rhint-camel-spring-boot-3]

CSB-722

CVE-2022-41853 hsqldb: Untrusted 输入可能会导致 RCE 攻击 [rhint-camel-spring-boot-3]

CSB-751

CVE-2022-33681 org.apache.pulsar-pulsar-client: Apache Pulsar: Improper Hostname Verification in Java 客户端和代理可以通过 MITM [rhint-camel-spring-boot-3] 来公开身份验证数据

CSB-794

CVE-2022-40150 jettison:通过用户提供的 XML 或 JSON 数据 [rhint-camel-spring-boot-3]

CSB-811

CVE-2022-39368 scandium: Failing DTLS 握手可能会导致节流阻止记录处理 [rhint-camel-spring-boot-3]

CSB-813

CVE-2022-31777 apache-spark: XSS 漏洞在日志查看器 UI Javascript [rhint-camel-spring-boot-3]

CSB-819

camel-kafka-starter: KafkaConsumerHealthCheckIT 无法正常工作

CSB-820

l2x6 cq-maven-plugin 为 camel-avro-rpc-component 设置错误版本

CSB-851

camel-cxf-rest-starter: EchoService 不是 JDK 17 的接口错误

CSB-852

camel-infinispan-starter : 测试在启用了 FIPS 的环境中失败

CSB-883

CVE-2022-37866 apache-ivy: : Apache Ivy: Ivy Path traversal [rhint-camel-spring-boot-3]

CSB-904

CVE-2022-41881 codec-haproxy: HAProxyMessageDecoder Stack Exhaustion DoS [rhint-camel-spring-boot-3]

CSB-905

CVE-2022-41854 dev-java-snakeyaml: dev-java/snakeyaml: DoS via stack overflow [rhint-camel-spring-boot-3]

CSB-906

[archetype] openshift 配置集中的 OMP 版本

CSB-929

CVE-2022-38648 batik: Server-Side Request the [rhint-camel-spring-boot-3]

CSB-930

CVE-2022-38398 batik: Server-Side Request the [rhint-camel-spring-boot-3]

CSB-931

CVE-2022-40146 batik: Server-Side Request the (SSRF) vulnerability [rhint-camel-spring-boot-3]

CSB-942

CVE-2022-4492 undertow: https 连接中的服务器身份不会被 undertow 客户端检查 [rhint-camel-spring-boot-3]

CSB-1203

CVE-2022-45047 sshd-common: mina-sshd: Java 不安全反序列化漏洞

CSB-1239

SAP quickstart spring-boot 示例具有循环参考

CSB-1242

当在 FIPS 模式下使用 openJDK11 运行时,camel-salesforce-maven-plugin:3.20.1 会失败

CSB-1274

CVE-2021-37533 apache-commons-net: FTP 客户端信任来自 PASV 响应的主机 [rhint-camel-spring-boot-3]

CSB-1334

CVE-2023-24998 tomcat: Apache Commons FileUpload: FileUpload DoS,带有过量部分 [rhint-camel-spring-boot-3]

CSB-1335

CVE-2022-41966 xstream: 通过注入递归集合或映射基于元素的哈希值获取堆栈溢出 [rhint-camel-spring-boot-3]

CSB-1373

fips-mode: 在某些 camel 组件中使 algorythms 和安全问题无效

CSB-1404

Spring Boot 版本在 BOM 中错误

CSB-1436

CVE-2023-20860 springframework: Security Bypass With Un-Prefixed Double Wildcard Pattern [rhint-camel-spring-boot-3]

CSB-1437

CVE-2023-20861 springframework: Spring Expression DoS DoS 漏洞 [rhint-camel-spring-boot-3]

CSB-1441

CVE-2022-42890 batik: Untrusted code execution in Apache XML Graphics Batik [rhint-camel-spring-boot-3]

CSB-1442

CVE-2022-41704 batik: Apache XML Graphics Batik 通过 SVG [rhint-camel-spring-boot-3] 易受代码执行的影响

CSB-1443

CVE-2022-37865 apache-ivy: Directory Traversal [rhint-camel-spring-boot-3]

CSB-1444

CVE-2023-22602 shiro-core: shiro: 身份验证通过特制的 HTTP 请求 [rhint-camel-spring-boot-3]

CSB-1482

CVE-2023-1436 jettison: 在 JSONArray 中不受控制的递归 [rhint-camel-spring-boot-3]

CSB-1499

camel-openapi-rest-dsl-generator 生成的类不会添加到 jar

CSB-1533

[cxfrs-component] camel-cxf-rest-starter 需要 cxf-spring-boot-autoconfigure

CSB-1536

CVE-2023-20863 springframework: Spring Expression DoS Vulnerability [rhint-camel-spring-boot-3.14]

CSB-1540

CVE-2023-1370 json-smart: json-smart (Resource Exhaustion)[rhint-camel-spring-boot-3.18] 中的不受控制的资源协调漏洞

1.4.4. Camel Spring Boot 版本 3.18 Patch 1 修复的问题

下表列出了 Camel Spring Boot 版本 3.18 Patch 1 中已解决的错误

表 1.4. Camel Spring Boot 版本 3.18 Patch 1 解决了程序错误

问题Description

CSB-1537

CVE-2023-20863 springframework: Spring Expression DoS Vulnerability [rhint-camel-spring-boot-3.18]

CSB-1539

CVE-2023-1370 json-smart: json-smart (Resource Exhaustion)[rhint-camel-spring-boot-3.14]