JBoss Enterprise Application Platform 7.4 Update 9 リリースノート
更新 -
お客様の期待に応えるべく、JBoss EAP 7 のマイクロリリースは廃止され、定期的に配信される更新に置き換えられています。
新たにリリースされるそれぞれの更新には、お客様から報告された問題に対するバグ修正およびセキュリティーフィックスが多数含まれます。 この更新により、当社が作成するパッチの数と、インストールを最新の状態に保つためにお客様が管理しなければならないパッチの数が、大幅に減少することが期待されます。
詳細は、Red Hat ナレッジベースの記事 EAP 6.2 以降のメンテナンスリリースの変更 および EAP 6.2 以降によるパッチ管理の更新 を参照してください。
この更新には、JBoss Enterprise Application Platform 7.4 Update 08 からのすべての修正と変更が含まれています。
JBoss Enterprise Application Platform 7.4 Update 09 をダウンロードしてください。
この更新には、次のセキュリティー関連の問題に対する修正が含まれています。
| ID | コンポーネント | 概要 |
|---|---|---|
| CVE-2018-14041 | Server | ブートストラップ: scrollspy の data-target プロパティーのクロスサイトスクリプティング (XSS) |
| CVE-2019-8331 | Server | ブートストラップ: ツールチップまたはポップオーバーの data-template 属性の XSS |
| CVE-2022-42004 | Server | jackson-databind: 深くネストされた配列の使用 |
| CVE-2018-14040 | Server | ブートストラップ: 折りたたみ data-parent 属性のクロスサイトスクリプティング (XSS) |
| CVE-2018-14042 | Server | ブートストラップ: ツールチップの data-container プロパティーのクロスサイトスクリプティング (XSS) |
| CVE-2022-42003 | Server | jackson-databind: UNWRAP_SINGLE_VALUE_ARRAYS に関する深いラッパー配列のネスト |
| CVE-2016-10735 | Server | ブートストラップ: data-target 属性の XSS |
| CVE-2022-3143 | Security | wildfly-elytron: 安全ではないコンパレーターを使用したタイミング攻撃の可能性 |
| CVE-2022-40149 | REST | jettison: stackoverflow によるパーサーのクラッシュ |
| CVE-2019-11358 | Server | jquery: サービス拒否、リモートコード実行、またはプロパティーインジェクションにつながるオブジェクトのプロトタイプのプロトタイプ汚染 |
| CVE-2020-11023 | Server | jquery: 信頼できないコードの実行 |
| CVE-2020-11022 | Server | jquery: 不適切な injQuery.htmlPrefilter メソッドによるクロスサイトスクリプティング |
| CVE-2015-9251 | Server | jquery: クロスドメイン ajax リクエストによるクロスサイトスクリプティング |
| CVE-2017-18214 | Server | nodejs-moment: 正規表現によるサービス拒否 |
| CVE-2022-45693 | Server | jettison: マップの値がマップ自身である場合は、新しい JSONObject(map) によって、StackOverflowError が発生し、dos につながる可能性がある |
| CVE-2022-45047 | Management | sshd-common: mina-sshd: Java の安全ではないデシリアライズの脆弱性 |
| CVE-2022-40150 | REST | jettison: ユーザー提供の XML または JSON データによるメモリーの枯渇 |
| CVE-2022-46363 | Server | CXF: Apache CXF: ディレクトリーの一覧表示/コードの流出 |
| CVE-2022-40152 | Application Client | woodstox-core: XML データをシリアライズする woodstox はサービス拒否攻撃に脆弱 |
| CVE-2022-46364 | Web Services | CXF: Apache CXF: SSRF の脆弱性 |
この更新には、次のバグ修正または変更が含まれています。
| ID | コンポーネント | 概要 |
|---|---|---|
| JBEAP-24379 | CLI | JDK 8 でパッチのロールバックが NoSuchMethodError で失敗する |
| JBEAP-23936 | Clustering | WFLY-17106 - jboss-web.xml レプリケーション設定により、クラスター化されていない EAP 7.4 設定で障害が発生する |
| JBEAP-24228 | EJB | 現在のセキュリティアイデンティティーとして実行される EJB デプロイメント用のグローバル EJB クライアントインターセプターを追加して、アウトフローアイデンティティーをアクティブ化する |
| JBEAP-24148 | EJB | EJBCLIENT-458 - JBoss モジュールがクラスパスにない場合、ConfigurationBasedEJBClientContextSelector はエラーをスローしないようにする必要がある[details] |
| JBEAP-24118 | Hibernate | HSEARCH-4107 - Spring 2.4.0 で FullTextSession を作成すると、セッションのキャストが失敗する[details] |
| JBEAP-24074 | JCA | JBJCA-1429 - XAResource enlistment 中にトランザクションタイムアウトに続く接続リーク |
| JBEAP-24391 | JCA | XAManagedConnectionFactory によって、; を含むデータソースの URL が破損します。 |
| JBEAP-24064 | JMS | WFLY-17112 - プールされた接続ファクトリーにカスタムの負荷分散ポリシーをロードできない |
| JBEAP-13722 | JPA/Hibernate | WFLY-9516 - 複数の永続性ユニットがデプロイされている場合は、JPA デプロイヤーがクロスサブデプロイメントの依存関係を追加する |
| JBEAP-23885 | JSF | JSF の完全な状態保存 ArrayIndexOutOfBoundsException #4936 |
| JBEAP-24134 | Management | WFCORE-6100 - -D[Server:XXX] JVM パラメーターの順序が正しくない |
| JBEAP-23775 | OpenShift | ロガーカテゴリーが standalone-openshift.xml に書き込まれない |
| JBEAP-24190 | Remoting | REM3-393 - エンドポイント解析: max-inbound-channels と max-outbound-channels のサポートを追加 |
| JBEAP-23501 | Remoting | WFLY-14961 - リモーティングサブシステムの max-outbound-channels 設定が適用されない |
| JBEAP-23971 | Security | ELYWEB-155 - overrideDeploymentConfig が false で loginConfig が null の場合は、デプロイメントの認証メカニズムをオーバーライドしない |
| JBEAP-24180 | Security | WFCORE - リモート処理に JAAS レルムを使用する場合は、タイプ default でセキュリティードメインキャッシュを作成できます。 |
| JBEAP-24199 | Security | WFLY-17316 - SecurityContext callerPrincipal が非同期タグ付き EJB で設定されていない |
| JBEAP-24221 | Security | ELY-2117 - SSLHandshakeException: ELY-2026 以降の IBM JDK で適切なプロトコルがない (プロトコルが無効になっているか、暗号スイートが不適切) |
| JBEAP-24127 | Undertow | UNDERTOW-2123 - AsyncContextImpl.dispatch を更新して、適切な値を使用する |
| JBEAP-23259 | Undertow | UNDERTOW-2031 - HTTP/2 と Expect のプロトコルエラー: 100-continue |
| JBEAP-24141 | Undertow | UNDERTOW-2081 - 開いている Websocket セッションが存在する場合、シャットダウン中に RejectedExecutionException が発生する[details] |
| JBEAP-24093 | Undertow | UNDERTOW-2186 - WEB-INF または META-INF という名前のアプリケーションサブディレクトリーが提供されない |
| JBEAP-15303 | Undertow | WFLY-10912 - CodecSessionConfig#findSessionId() により、誤った JSESSIONID Set-Cookie ヘッダーが発生する |
| JBEAP-24106 | Security | ELY-2468 - EAP 7.4 で RH-SSO OIDC アダプターを使用すると、デプロイメント間でセキュリティーコンテキストが伝播する |
インストール
注記: この更新は、インストーラーまたは zip ベースのインストールのみに適用する必要があります。
UNIX ベースのシステムで CLI を使用して更新を適用するには、JBOSS_HOME から次のコマンドを実行します。
bin/jboss-cli.sh "patch apply path/to/jboss-eap-7.4.9-patch.zip"
Windows ベースのシステムで CLI を使用して更新を適用するには、JBOSS_HOME から次のコマンドを実行します。
binjboss-cli.bat "patch apply path ojboss-eap-7.4.9-patch.zip"
これらのコマンドは、CLI スクリプトを含むインストールに更新を適用します。 その他のシナリオと管理コンソールの使用は、JBoss EAP 7.4 Patching And Upgrading Guide で説明しています。
注記
- s390x プラットフォーム (IBM zSeries) の EAP ネイティブは、IBM zSeries の OpenShift 環境でのみサポートされています。つまり、IBM zSeries でのベアメタルインストールはサポートされていません。
- 一部の JBoss EAP イメージテンプレートは、s390x ビルドがない可能性のある他の製品に依存します。詳細は、こちらで の詳細を参照してください。
- Helm Chart for JBoss EAP 7.4 / JBoss EAP XP 3 では、Helm パッケージマネージャーを使用して OpenShift 上でアプリケーションを構築し、デプロイすることができます。
- 統合テストのために IBM Web Sphere MQ ブローカーが 9.2 に更新されました。詳細は、Red Hat JBoss Enterprise Application Platform (EAP) 7 Tested Integrations を参照してください。
- JBoss EAP 7.4 で非推奨になった Hibernate Search 5 API は、EAP 8/Hibernate 6 で変更される予定です。
- RHSSO Galleon Layer は JBoss EAP 7.4 で非推奨になりました。詳細は こちら を参照してください。
- JBoss EAP 7.4 Update 7+ は、OpenJDK 17 をサポートするようになりました。Update 8+ は、Oracle JDK17 をサポートします。必要な設定変更をこちらで参照してください。
- Red Hat Enterprise Application Platform (EAP) 7 で非推奨になりました。
- jndi-name は、スキーマに従って admin-object 定義に必要です。サーバーはそれを指定することを要求するか、エラーになります。詳細については、こちら を参照してください。
Comments