5.4. Camel Spring Boot 修复的问题
以下小节列出了 Camel Spring Boot 中修复的问题。
5.4.1. Camel Spring Boot 版本 3.20.1.1 修复的问题
下表列出了 Camel Spring Boot 版本 3.20.1.1 中已解析的错误。
表 5.1. Camel Spring Boot 版本 3.20.1.1 Resolved Bugs
| 问题 | 描述 |
|---|---|
| CVE-2022-31690 spring-security-oauth2-client: Privilege Escalation in spring-security-oauth2-client [rhint-camel-spring-boot-3] | |
| CVE-2023-20883 spring-boot: Spring Boot Welcome Page DoS Vulnerability [rhint-camel-spring-boot-3.20] | |
| CVE-2023-24815 vertx-web: StaticHandler 在 Windows 上分离,当挂载到通配符路由 [rhint-camel-spring-boot-3.20] | |
| CXF TrustedAuthorityValidatorTest failure | |
| backport CAMEL-19421 - Camel-Jira: 在 FileConverter 中使用 Files.createTempFile,而不是直接创建文件 |
5.4.2. Camel Spring Boot 版本 3.18.3.1 修复的问题
下表列出了 Camel Spring Boot 版本 3.18.3.1 中已解析的错误。
表 5.2. Camel Spring Boot 版本 3.18.3.1 解决的错误
| 问题 | 描述 |
|---|---|
| CVE-2022-25857 snakeyaml: Denial of Service due due missing nested depth limitations for collections [rhint-camel-spring-boot-3] | |
| CVE-2022-38752 snakeyaml: Uncaught exception in java.base/java.util.ArrayList.hashCode [rhint-camel-spring-boot-3] | |
| CVE-2022-38751 snakeyaml: Uncaught exception in java.base/java.util.regex.Pattern$Ques.match [rhint-camel-spring-boot-3] | |
| CVE-2022-38750 snakeyaml: Uncaught exception in org.yaml.snakeyaml.constructor.constructObject [rhint-camel-spring-boot-3] | |
| CVE-2022-38749 snakeyaml: Uncaught exception in org.yaml.snakeyaml.composer.Composer.composeSequenceNode [rhint-camel-spring-boot-3] | |
| CVE-2022-42003 jackson-databind: deep wrapper array nesting wrt UNWRAP_SINGLE_VALUE_ARRAYS [rhint-camel-spring-boot-3] | |
| CVE-2022-42004 jackson-databind: 使用 deeply nested array [rhint-camel-spring-boot-3] | |
| CVE-2023-1370 json-smart: Un control Resource Consumption vulnerability in json-smart (Resource Exhaustion)[rhint-camel-spring-boot-3.18] | |
| CVE-2023-1436 jettison: Un controlled Recursion in JSONArray [rhint-camel-spring-boot-3] | |
| CVE-2022-46364 CXF: Apache CXF: SSRF Vulnerability [rhint-camel-spring-boot-3] | |
| CVE-2022-46363 CXF: Apache CXF: 目录列出 / 代码 exfiltration [rhint-camel-spring-boot-3] | |
| CVE-2022-45047 sshd-common: mina-sshd: Java unsafe deserialization 漏洞 | |
| CVE-2022-25857 snakeyaml: Denial of Service due due missing nested depth limitations for collections [rhint-camel-spring-boot-3] | |
| CVE-2022-41854 dev-java-snakeyaml: dev-java/snakeyaml: DoS via stack overflow [rhint-camel-spring-boot-3] | |
| CVE-2022-40156 xstream: Xstream to serialise XML 数据会受到 Denial Service 攻击 [rhint-camel-spring-boot-3] | |
| CVE-2022-40152 woodstox-core: woodstox to serialise XML 数据易受 Denial Service 攻击 [rhint-camel-spring-boot-3] | |
| CVE-2023-20883 spring-boot: Spring Boot Welcome Page DoS Vulnerability [rhint-camel-spring-boot-3.18] | |
| CXF 测试在 undertow 版本 update 2.2.24.SP1-redhat-00001 后失败 | |
| backport CAMEL-19421 - Camel-Jira: 在 FileConverter 中使用 Files.createTempFile,而不是直接创建文件 | |
| CXF TrustedAuthorityValidatorTest failure |
5.4.3. Camel Spring Boot 版本 3.20 修复的问题
下表列出了 Camel Spring Boot 版本 3.20 中已解析的错误。
表 5.3. Camel Spring Boot 版本 3.20 解决的错误
| 问题 | 描述 |
|---|---|
| CVE-2022-25857 snakeyaml: Denial of Service due due missing nested depth limitations for collections [rhint-camel-spring-boot-3] | |
| CVE-2022-40156 xstream: Xstream to serialise XML 数据会受到 Denial Service 攻击 [rhint-camel-spring-boot-3] | |
| CVE-2022-40152 woodstox-core: woodstox to serialise XML 数据易受 Denial Service 攻击 [rhint-camel-spring-boot-3] | |
| CVE-2022-40151 xstream: Xstream to serialise XML 数据会受到 Denial Service 攻击 [rhint-camel-spring-boot-3] | |
| CVE-2022-38752 snakeyaml: Uncaught exception in java.base/java.util.ArrayList.hashCode [rhint-camel-spring-boot-3] | |
| CVE-2022-38751 snakeyaml: Uncaught exception in java.base/java.util.regex.Pattern$Ques.match [rhint-camel-spring-boot-3] | |
| CVE-2022-38750 snakeyaml: Uncaught exception in org.yaml.snakeyaml.constructor.constructObject [rhint-camel-spring-boot-3] | |
| CVE-2022-38749 snakeyaml: Uncaught exception in org.yaml.snakeyaml.composer.Composer.composeSequenceNode [rhint-camel-spring-boot-3] | |
| CVE-2022-42003 jackson-databind: deep wrapper array nesting wrt UNWRAP_SINGLE_VALUE_ARRAYS [rhint-camel-spring-boot-3] | |
| CVE-2022-42004 jackson-databind: 使用 deeply nested array [rhint-camel-spring-boot-3] | |
| CVE-2022-41852 JXPath: 不受信任的 XPath 表达式可能会导致 RCE 攻击 [rhint-camel-spring-boot-3] | |
| CVE-2022-41853 hsqldb: Untrusted 输入可能会导致 RCE 攻击 [rhint-camel-spring-boot-3] | |
| CVE-2022-33681 org.apache.pulsar-client: Apache Pulsar: Apache Pulsar: Improper Hostname 验证 Java 客户端,代理可以通过 MITM [rhint-camel-spring-boot-3] 公开身份验证数据 | |
| CVE-2022-40150 jettison: memory exhaustion via user-supplied XML 或 JSON 数据 [rhint-camel-spring-boot-3] | |
| CVE-2022-39368 scandium: Failing DTLS handshakes 可能会导致节流处理记录 [rhint-camel-spring-boot-3] | |
| CVE-2022-31777 apache-spark: XSS vulnerability in log viewer UI Javascript [rhint-camel-spring-boot-3] | |
| camel-kafka-starter: KafkaConsumerHealthCheckIT 无法正常工作 | |
| l2x6 cq-maven-plugin 设置错误版本 camel-avro-rpc-component | |
| camel-cxf-rest-starter: EchoService 不是 JDK 17 上的接口错误 | |
| camel-infinispan-starter : 测试在启用了 FIPS 的环境中失败 | |
| CVE-2022-37866 apache-ivy: : Apache Ivy: Ivy Path traversal [rhint-camel-spring-boot-3] | |
| CVE-2022-41881 codec-haproxy: HAProxyMessageDecoder Stack Exhaustion DoS [rhint-camel-spring-boot-3] | |
| CVE-2022-41854 dev-java-snakeyaml: dev-java/snakeyaml: DoS via stack overflow [rhint-camel-spring-boot-3] | |
| [archetype] OMP version in openshift profile | |
| CVE-2022-38648 batik: Server-Side Request Forgery [rhint-camel-spring-boot-3] | |
| CVE-2022-38398 batik: Server-Side Request Forgery [rhint-camel-spring-boot-3] | |
| CVE-2022-40146 batik: Server-Side Request Forgery (SSRF)安全漏洞 [rhint-camel-spring-boot-3] | |
| CVE-2022-4492 undertow: https 连接中的服务器身份不会被 undertow 客户端 [rhint-camel-spring-boot-3] 检查 | |
| CVE-2022-45047 sshd-common: mina-sshd: Java unsafe deserialization 漏洞 | |
| SAP quickstart spring-boot 示例具有循环参考 | |
| 当在 FIPS 模式下使用 openJDK11 运行时,camel-salesforce-maven-plugin:3.20.1 会失败 | |
| CVE-2021-37533 apache-commons-net: FTP 客户端默认信任 PASV 响应中的主机 [rhint-camel-spring-boot-3] | |
| CVE-2023-24998 tomcat: Apache Commons FileUpload: FileUpload DoS 带有过量部分 [rhint-camel-spring-boot-3] | |
| CVE-2022-41966 xstream: Denial of Service:基于元素的哈希值来注入递归集合或映射,这增加了一个堆栈溢出 [rhint-camel-spring-boot-3] | |
| FIPS-mode: Invalid algorythms and security issues on some camel 组件 | |
| Spring Boot 版本在 BOM 中出错 | |
| CVE-2023-20860 springframework: Security Bypass with Un-Prefixed Double Wildcard Pattern [rhint-camel-spring-boot-3] | |
| CVE-2023-20861 springframework: Spring Expression DoS Vulnerability [rhint-camel-spring-boot-3] | |
| CVE-2022-42890 batik: 在 Apache XML Graphics Batik [rhint-camel-spring-boot-3] 中的不可信代码执行 | |
| CVE-2022-41704 batik: Apache XML Graphics Batik 通过 SVG [rhint-camel-spring-boot-3] 安全漏洞执行代码 | |
| CVE-2022-37865 apache-ivy: Directory Traversal [rhint-camel-spring-boot-3] | |
| CVE-2023-22602 shiro-core: 通过特殊的精心设计的 HTTP 请求[rhint-camel-spring-boot-3] 绕过身份验证 | |
| CVE-2023-1436 jettison: Un controlled Recursion in JSONArray [rhint-camel-spring-boot-3] | |
| camel-openapi-rest-dsl-generator 生成的类不会添加到 jar | |
| [cxfrs-component] camel-cxf-rest-starter 需要 cxf-spring-boot-autoconfigure | |
| CVE-2023-20863 springframework: Spring Expression DoS Vulnerability [rhint-camel-spring-boot-3.14] | |
| CVE-2023-1370 json-smart: Un control Resource Consumption vulnerability in json-smart (Resource Exhaustion)[rhint-camel-spring-boot-3.18] |
5.4.4. Camel Spring Boot 版本 3.18 Patch 1 修复的问题
下表列出了 Camel Spring Boot 版本 3.18 Patch 1 中的已解决的问题
表 5.4. Camel Spring Boot 版本 3.18 Patch 1 解决的错误