5.4. Camel Spring Boot 修复的问题

以下小节列出了 Camel Spring Boot 中修复的问题。

5.4.1. Camel Spring Boot 版本 3.20.1.1 修复的问题

下表列出了 Camel Spring Boot 版本 3.20.1.1 中已解析的错误。

表 5.1. Camel Spring Boot 版本 3.20.1.1 Resolved Bugs

问题描述

CSB-1524

CVE-2022-31690 spring-security-oauth2-client: Privilege Escalation in spring-security-oauth2-client [rhint-camel-spring-boot-3]

CSB-1718

CVE-2023-20883 spring-boot: Spring Boot Welcome Page DoS Vulnerability [rhint-camel-spring-boot-3.20]

CSB-1719

CVE-2023-24815 vertx-web: StaticHandler 在 Windows 上分离,当挂载到通配符路由 [rhint-camel-spring-boot-3.20]

CSB-1760

CXF TrustedAuthorityValidatorTest failure

CSB-1821

backport CAMEL-19421 - Camel-Jira: 在 FileConverter 中使用 Files.createTempFile,而不是直接创建文件

5.4.2. Camel Spring Boot 版本 3.18.3.1 修复的问题

下表列出了 Camel Spring Boot 版本 3.18.3.1 中已解析的错误。

表 5.2. Camel Spring Boot 版本 3.18.3.1 解决的错误

问题描述

CSB-656

CVE-2022-25857 snakeyaml: Denial of Service due due missing nested depth limitations for collections [rhint-camel-spring-boot-3]

CSB-714

CVE-2022-38752 snakeyaml: Uncaught exception in java.base/java.util.ArrayList.hashCode [rhint-camel-spring-boot-3]

CSB-715

CVE-2022-38751 snakeyaml: Uncaught exception in java.base/java.util.regex.Pattern$Ques.match [rhint-camel-spring-boot-3]

CSB-716

CVE-2022-38750 snakeyaml: Uncaught exception in org.yaml.snakeyaml.constructor.constructObject [rhint-camel-spring-boot-3]

CSB-717

CVE-2022-38749 snakeyaml: Uncaught exception in org.yaml.snakeyaml.composer.Composer.composeSequenceNode [rhint-camel-spring-boot-3]

CSB-719

CVE-2022-42003 jackson-databind: deep wrapper array nesting wrt UNWRAP_SINGLE_VALUE_ARRAYS [rhint-camel-spring-boot-3]

CSB-720

CVE-2022-42004 jackson-databind: 使用 deeply nested array [rhint-camel-spring-boot-3]

CSB-1540

CVE-2023-1370 json-smart: Un control Resource Consumption vulnerability in json-smart (Resource Exhaustion)[rhint-camel-spring-boot-3.18]

CSB-1702

CVE-2023-1436 jettison: Un controlled Recursion in JSONArray [rhint-camel-spring-boot-3]

CSB-1703

CVE-2022-46364 CXF: Apache CXF: SSRF Vulnerability [rhint-camel-spring-boot-3]

CSB-1704

CVE-2022-46363 CXF: Apache CXF: 目录列出 / 代码 exfiltration [rhint-camel-spring-boot-3]

CSB-1705

CVE-2022-45047 sshd-common: mina-sshd: Java unsafe deserialization 漏洞

CSB-1711

CVE-2022-25857 snakeyaml: Denial of Service due due missing nested depth limitations for collections [rhint-camel-spring-boot-3]

CSB-1712

CVE-2022-41854 dev-java-snakeyaml: dev-java/snakeyaml: DoS via stack overflow [rhint-camel-spring-boot-3]

CSB-1713

CVE-2022-40156 xstream: Xstream to serialise XML 数据会受到 Denial Service 攻击 [rhint-camel-spring-boot-3]

CSB-1714

CVE-2022-40152 woodstox-core: woodstox to serialise XML 数据易受 Denial Service 攻击 [rhint-camel-spring-boot-3]

CSB-1717

CVE-2023-20883 spring-boot: Spring Boot Welcome Page DoS Vulnerability [rhint-camel-spring-boot-3.18]

CSB-1732

CXF 测试在 undertow 版本 update 2.2.24.SP1-redhat-00001 后失败

CSB-1821

backport CAMEL-19421 - Camel-Jira: 在 FileConverter 中使用 Files.createTempFile,而不是直接创建文件

CSB-1947

CXF TrustedAuthorityValidatorTest failure

5.4.3. Camel Spring Boot 版本 3.20 修复的问题

下表列出了 Camel Spring Boot 版本 3.20 中已解析的错误。

表 5.3. Camel Spring Boot 版本 3.20 解决的错误

问题描述

CSB-656

CVE-2022-25857 snakeyaml: Denial of Service due due missing nested depth limitations for collections [rhint-camel-spring-boot-3]

CSB-699

CVE-2022-40156 xstream: Xstream to serialise XML 数据会受到 Denial Service 攻击 [rhint-camel-spring-boot-3]

CSB-702

CVE-2022-40152 woodstox-core: woodstox to serialise XML 数据易受 Denial Service 攻击 [rhint-camel-spring-boot-3]

CSB-703

CVE-2022-40151 xstream: Xstream to serialise XML 数据会受到 Denial Service 攻击 [rhint-camel-spring-boot-3]

CSB-714

CVE-2022-38752 snakeyaml: Uncaught exception in java.base/java.util.ArrayList.hashCode [rhint-camel-spring-boot-3]

CSB-715

CVE-2022-38751 snakeyaml: Uncaught exception in java.base/java.util.regex.Pattern$Ques.match [rhint-camel-spring-boot-3]

CSB-716

CVE-2022-38750 snakeyaml: Uncaught exception in org.yaml.snakeyaml.constructor.constructObject [rhint-camel-spring-boot-3]

CSB-717

CVE-2022-38749 snakeyaml: Uncaught exception in org.yaml.snakeyaml.composer.Composer.composeSequenceNode [rhint-camel-spring-boot-3]

CSB-719

CVE-2022-42003 jackson-databind: deep wrapper array nesting wrt UNWRAP_SINGLE_VALUE_ARRAYS [rhint-camel-spring-boot-3]

CSB-720

CVE-2022-42004 jackson-databind: 使用 deeply nested array [rhint-camel-spring-boot-3]

CSB-721

CVE-2022-41852 JXPath: 不受信任的 XPath 表达式可能会导致 RCE 攻击 [rhint-camel-spring-boot-3]

CSB-722

CVE-2022-41853 hsqldb: Untrusted 输入可能会导致 RCE 攻击 [rhint-camel-spring-boot-3]

CSB-751

CVE-2022-33681 org.apache.pulsar-client: Apache Pulsar: Apache Pulsar: Improper Hostname 验证 Java 客户端,代理可以通过 MITM [rhint-camel-spring-boot-3] 公开身份验证数据

CSB-794

CVE-2022-40150 jettison: memory exhaustion via user-supplied XML 或 JSON 数据 [rhint-camel-spring-boot-3]

CSB-811

CVE-2022-39368 scandium: Failing DTLS handshakes 可能会导致节流处理记录 [rhint-camel-spring-boot-3]

CSB-813

CVE-2022-31777 apache-spark: XSS vulnerability in log viewer UI Javascript [rhint-camel-spring-boot-3]

CSB-819

camel-kafka-starter: KafkaConsumerHealthCheckIT 无法正常工作

CSB-820

l2x6 cq-maven-plugin 设置错误版本 camel-avro-rpc-component

CSB-851

camel-cxf-rest-starter: EchoService 不是 JDK 17 上的接口错误

CSB-852

camel-infinispan-starter : 测试在启用了 FIPS 的环境中失败

CSB-883

CVE-2022-37866 apache-ivy: : Apache Ivy: Ivy Path traversal [rhint-camel-spring-boot-3]

CSB-904

CVE-2022-41881 codec-haproxy: HAProxyMessageDecoder Stack Exhaustion DoS [rhint-camel-spring-boot-3]

CSB-905

CVE-2022-41854 dev-java-snakeyaml: dev-java/snakeyaml: DoS via stack overflow [rhint-camel-spring-boot-3]

CSB-906

[archetype] OMP version in openshift profile

CSB-929

CVE-2022-38648 batik: Server-Side Request Forgery [rhint-camel-spring-boot-3]

CSB-930

CVE-2022-38398 batik: Server-Side Request Forgery [rhint-camel-spring-boot-3]

CSB-931

CVE-2022-40146 batik: Server-Side Request Forgery (SSRF)安全漏洞 [rhint-camel-spring-boot-3]

CSB-942

CVE-2022-4492 undertow: https 连接中的服务器身份不会被 undertow 客户端 [rhint-camel-spring-boot-3] 检查

CSB-1203

CVE-2022-45047 sshd-common: mina-sshd: Java unsafe deserialization 漏洞

CSB-1239

SAP quickstart spring-boot 示例具有循环参考

CSB-1242

当在 FIPS 模式下使用 openJDK11 运行时,camel-salesforce-maven-plugin:3.20.1 会失败

CSB-1274

CVE-2021-37533 apache-commons-net: FTP 客户端默认信任 PASV 响应中的主机 [rhint-camel-spring-boot-3]

CSB-1334

CVE-2023-24998 tomcat: Apache Commons FileUpload: FileUpload DoS 带有过量部分 [rhint-camel-spring-boot-3]

CSB-1335

CVE-2022-41966 xstream: Denial of Service:基于元素的哈希值来注入递归集合或映射,这增加了一个堆栈溢出 [rhint-camel-spring-boot-3]

CSB-1373

FIPS-mode: Invalid algorythms and security issues on some camel 组件

CSB-1404

Spring Boot 版本在 BOM 中出错

CSB-1436

CVE-2023-20860 springframework: Security Bypass with Un-Prefixed Double Wildcard Pattern [rhint-camel-spring-boot-3]

CSB-1437

CVE-2023-20861 springframework: Spring Expression DoS Vulnerability [rhint-camel-spring-boot-3]

CSB-1441

CVE-2022-42890 batik: 在 Apache XML Graphics Batik [rhint-camel-spring-boot-3] 中的不可信代码执行

CSB-1442

CVE-2022-41704 batik: Apache XML Graphics Batik 通过 SVG [rhint-camel-spring-boot-3] 安全漏洞执行代码

CSB-1443

CVE-2022-37865 apache-ivy: Directory Traversal [rhint-camel-spring-boot-3]

CSB-1444

CVE-2023-22602 shiro-core: 通过特殊的精心设计的 HTTP 请求[rhint-camel-spring-boot-3] 绕过身份验证

CSB-1482

CVE-2023-1436 jettison: Un controlled Recursion in JSONArray [rhint-camel-spring-boot-3]

CSB-1499

camel-openapi-rest-dsl-generator 生成的类不会添加到 jar

CSB-1533

[cxfrs-component] camel-cxf-rest-starter 需要 cxf-spring-boot-autoconfigure

CSB-1536

CVE-2023-20863 springframework: Spring Expression DoS Vulnerability [rhint-camel-spring-boot-3.14]

CSB-1540

CVE-2023-1370 json-smart: Un control Resource Consumption vulnerability in json-smart (Resource Exhaustion)[rhint-camel-spring-boot-3.18]

5.4.4. Camel Spring Boot 版本 3.18 Patch 1 修复的问题

下表列出了 Camel Spring Boot 版本 3.18 Patch 1 中的已解决的问题

表 5.4. Camel Spring Boot 版本 3.18 Patch 1 解决的错误

问题描述

CSB-1537

CVE-2023-20863 springframework: Spring Expression DoS Vulnerability [rhint-camel-spring-boot-3.18]

CSB-1539

CVE-2023-1370 json-smart: Un control Resource Consumption vulnerability in json-smart (Resource Exhaustion)[rhint-camel-spring-boot-3.14]