1.4. Camel Spring Boot 修复的问题
以下小节列出了 Camel Spring Boot 中修复的问题。
1.4.1. Camel Spring Boot 版本 3.20.1.1 修复的问题
下表列出了 Camel Spring Boot 版本 3.20.1.1 中已解析的错误。
表 1.1. Camel Spring Boot 版本 3.20.1.1 Resolved Bugs
| 问题 | Description |
|---|---|
| CVE-2022-31690 spring-security-oauth2-client: Privilege Escalation in spring-security-oauth2-client [rhint-camel-spring-boot-3] | |
| CVE-2023-20883 spring-boot: Spring Boot Welcome Page DoS Vulnerability [rhint-camel-spring-boot-3.20] | |
| CVE-2023-24815 vertx-web: StaticHandler 在 Windows 上分离,当挂载到通配符路由 [rhint-camel-spring-boot-3.20] | |
| CXF TrustedAuthorityValidatorTest failure | |
| backport CAMEL-19421 - Camel-Jira: 在 FileConverter 中使用 Files.createTempFile,而不是直接创建文件 |
1.4.2. Camel Spring Boot 版本 3.18.3.1 修复的问题
下表列出了 Camel Spring Boot 版本 3.18.3.1 中已解析的错误。
表 1.2. Camel Spring Boot 版本 3.18.3.1 解决的错误
| 问题 | Description |
|---|---|
| CVE-2022-25857 snakeyaml: Denial of Service,因为集合缺少嵌套深度限制 [rhint-camel-spring-boot-3] | |
| CVE-2022-38752 snakeyaml: Uncaught exception in java.base/java.util.ArrayList.hashCode [rhint-camel-spring-boot-3] | |
| CVE-2022-38751 snakeyaml: Uncaught exception in java.base/java.util.regex.Pattern$Ques.match [rhint-camel-spring-boot-3] | |
| CVE-2022-38750 snakeyaml: Uncaught exception in org.yaml.snakeyaml.constructor.BaseConstructor.constructObject [rhint-camel-spring-boot-3] | |
| CVE-2022-38749 snakeyaml: Uncaught exception in org.yaml.snakeyaml.composer.Composer.composeSequenceNode [rhint-camel-spring-boot-3] | |
| CVE-2022-42003 jackson-databind: deep wrapper 数组嵌套 wrt UNWRAP_SINGLE_VALUE_ARRAYS [rhint-camel-spring-boot-3] | |
| CVE-2022-42004 jackson-databind: 使用深度嵌套阵列 [rhint-camel-spring-boot-3] | |
| CVE-2023-1370 json-smart: json-smart (Resource Exhaustion)[rhint-camel-spring-boot-3.18] 中的不受控制的资源协调漏洞 | |
| CVE-2023-1436 jettison: 在 JSONArray 中不受控制的递归 [rhint-camel-spring-boot-3] | |
| CVE-2022-46364 CXF: Apache CXF: SSRF Vulnerability [rhint-camel-spring-boot-3] | |
| CVE-2022-46363 CXF: Apache CXF: 目录列出 / 代码 exfiltration [rhint-camel-spring-boot-3] | |
| CVE-2022-45047 sshd-common: mina-sshd: Java 不安全反序列化漏洞 | |
| CVE-2022-25857 snakeyaml: Denial of Service,因为集合缺少嵌套深度限制 [rhint-camel-spring-boot-3] | |
| CVE-2022-41854 dev-java-snakeyaml: dev-java/snakeyaml: DoS via stack overflow [rhint-camel-spring-boot-3] | |
| CVE-2022-40156 xstream: Xstream to serialise XML 数据受到服务攻击的影响 [rhint-camel-spring-boot-3] | |
| CVE-2022-40152 woodstox-core: woodstox 用来对 XML 数据进行序列化攻击[rhint-camel-spring-boot-3] | |
| CVE-2023-20883 spring-boot: Spring Boot Welcome Page DoS Vulnerability [rhint-camel-spring-boot-3.18] | |
| CXF 测试在 undertow 版本 update 2.2.24.SP1-redhat-00001 后失败 | |
| backport CAMEL-19421 - Camel-Jira: 在 FileConverter 中使用 Files.createTempFile,而不是直接创建文件 | |
| CXF TrustedAuthorityValidatorTest failure |
1.4.3. Camel Spring Boot 版本 3.20 修复的问题
下表列出了 Camel Spring Boot 版本 3.20 中已解析的错误。
表 1.3. Camel Spring Boot 版本 3.20 解决的错误
| 问题 | Description |
|---|---|
| CVE-2022-25857 snakeyaml: Denial of Service,因为集合缺少嵌套深度限制 [rhint-camel-spring-boot-3] | |
| CVE-2022-40156 xstream: Xstream to serialise XML 数据受到服务攻击的影响 [rhint-camel-spring-boot-3] | |
| CVE-2022-40152 woodstox-core: woodstox 用来对 XML 数据进行序列化攻击[rhint-camel-spring-boot-3] | |
| CVE-2022-40151 xstream: Xstream to serialise XML 数据受到服务攻击的影响 [rhint-camel-spring-boot-3] | |
| CVE-2022-38752 snakeyaml: Uncaught exception in java.base/java.util.ArrayList.hashCode [rhint-camel-spring-boot-3] | |
| CVE-2022-38751 snakeyaml: Uncaught exception in java.base/java.util.regex.Pattern$Ques.match [rhint-camel-spring-boot-3] | |
| CVE-2022-38750 snakeyaml: Uncaught exception in org.yaml.snakeyaml.constructor.BaseConstructor.constructObject [rhint-camel-spring-boot-3] | |
| CVE-2022-38749 snakeyaml: Uncaught exception in org.yaml.snakeyaml.composer.Composer.composeSequenceNode [rhint-camel-spring-boot-3] | |
| CVE-2022-42003 jackson-databind: deep wrapper 数组嵌套 wrt UNWRAP_SINGLE_VALUE_ARRAYS [rhint-camel-spring-boot-3] | |
| CVE-2022-42004 jackson-databind: 使用深度嵌套阵列 [rhint-camel-spring-boot-3] | |
| CVE-2022-41852 JXPath: 不受信任的 XPath 表达式可能会导致 RCE 攻击 [rhint-camel-spring-boot-3] | |
| CVE-2022-41853 hsqldb: Untrusted 输入可能会导致 RCE 攻击 [rhint-camel-spring-boot-3] | |
| CVE-2022-33681 org.apache.pulsar-pulsar-client: Apache Pulsar: Improper Hostname Verification in Java 客户端和代理可以通过 MITM [rhint-camel-spring-boot-3] 来公开身份验证数据 | |
| CVE-2022-40150 jettison:通过用户提供的 XML 或 JSON 数据 [rhint-camel-spring-boot-3] | |
| CVE-2022-39368 scandium: Failing DTLS 握手可能会导致节流阻止记录处理 [rhint-camel-spring-boot-3] | |
| CVE-2022-31777 apache-spark: XSS 漏洞在日志查看器 UI Javascript [rhint-camel-spring-boot-3] | |
| camel-kafka-starter: KafkaConsumerHealthCheckIT 无法正常工作 | |
| l2x6 cq-maven-plugin 为 camel-avro-rpc-component 设置错误版本 | |
| camel-cxf-rest-starter: EchoService 不是 JDK 17 的接口错误 | |
| camel-infinispan-starter : 测试在启用了 FIPS 的环境中失败 | |
| CVE-2022-37866 apache-ivy: : Apache Ivy: Ivy Path traversal [rhint-camel-spring-boot-3] | |
| CVE-2022-41881 codec-haproxy: HAProxyMessageDecoder Stack Exhaustion DoS [rhint-camel-spring-boot-3] | |
| CVE-2022-41854 dev-java-snakeyaml: dev-java/snakeyaml: DoS via stack overflow [rhint-camel-spring-boot-3] | |
| [archetype] openshift 配置集中的 OMP 版本 | |
| CVE-2022-38648 batik: Server-Side Request the [rhint-camel-spring-boot-3] | |
| CVE-2022-38398 batik: Server-Side Request the [rhint-camel-spring-boot-3] | |
| CVE-2022-40146 batik: Server-Side Request the (SSRF) vulnerability [rhint-camel-spring-boot-3] | |
| CVE-2022-4492 undertow: https 连接中的服务器身份不会被 undertow 客户端检查 [rhint-camel-spring-boot-3] | |
| CVE-2022-45047 sshd-common: mina-sshd: Java 不安全反序列化漏洞 | |
| SAP quickstart spring-boot 示例具有循环参考 | |
| 当在 FIPS 模式下使用 openJDK11 运行时,camel-salesforce-maven-plugin:3.20.1 会失败 | |
| CVE-2021-37533 apache-commons-net: FTP 客户端信任来自 PASV 响应的主机 [rhint-camel-spring-boot-3] | |
| CVE-2023-24998 tomcat: Apache Commons FileUpload: FileUpload DoS,带有过量部分 [rhint-camel-spring-boot-3] | |
| CVE-2022-41966 xstream: 通过注入递归集合或映射基于元素的哈希值获取堆栈溢出 [rhint-camel-spring-boot-3] | |
| fips-mode: 在某些 camel 组件中使 algorythms 和安全问题无效 | |
| Spring Boot 版本在 BOM 中错误 | |
| CVE-2023-20860 springframework: Security Bypass With Un-Prefixed Double Wildcard Pattern [rhint-camel-spring-boot-3] | |
| CVE-2023-20861 springframework: Spring Expression DoS DoS 漏洞 [rhint-camel-spring-boot-3] | |
| CVE-2022-42890 batik: Untrusted code execution in Apache XML Graphics Batik [rhint-camel-spring-boot-3] | |
| CVE-2022-41704 batik: Apache XML Graphics Batik 通过 SVG [rhint-camel-spring-boot-3] 易受代码执行的影响 | |
| CVE-2022-37865 apache-ivy: Directory Traversal [rhint-camel-spring-boot-3] | |
| CVE-2023-22602 shiro-core: shiro: 身份验证通过特制的 HTTP 请求 [rhint-camel-spring-boot-3] | |
| CVE-2023-1436 jettison: 在 JSONArray 中不受控制的递归 [rhint-camel-spring-boot-3] | |
| camel-openapi-rest-dsl-generator 生成的类不会添加到 jar | |
| [cxfrs-component] camel-cxf-rest-starter 需要 cxf-spring-boot-autoconfigure | |
| CVE-2023-20863 springframework: Spring Expression DoS Vulnerability [rhint-camel-spring-boot-3.14] | |
| CVE-2023-1370 json-smart: json-smart (Resource Exhaustion)[rhint-camel-spring-boot-3.18] 中的不受控制的资源协调漏洞 |
1.4.4. Camel Spring Boot 版本 3.18 Patch 1 修复的问题
下表列出了 Camel Spring Boot 版本 3.18 Patch 1 中已解决的错误