7.2. 解決した問題

CVE-2023-44487 netty-codec-http2: HTTP/2: 複数の HTTP/2 対応 Web サーバーが DDoS 攻撃 (ラピッドリセット攻撃) からの影響を受けます。

Migration Toolkit for Runtimes (MTR) で使用される HTTP/2 プロトコルでの多重化ストリームの処理に欠陥が見つかりました。クライアントは、新しい多重化ストリームの要求を繰り返し行い、すぐに RST_STREAM フレームを送信してそれをキャンセルする可能性があります。これにより、接続ごとのアクティブなストリームの最大数に関するサーバー側の制限を回避しながら、ストリームのセットアップと削除に関してサーバーに追加のワークロードが発生し、サーバーリソースの消費によるサービス拒否が発生します。(WINDUP-4072)

CVE-2023-37460 plexus-archiver: AbstractUnArchiver での任意のファイル作成

MTR で使用されていた Plexus Archiver に欠陥が見つかりました。 AbstractUnArchiver を使用して抽出すると、アーカイブにより任意のファイルが作成され、リモートコード実行 (RCE) が発生する可能性があります。この欠陥により、宛先ディレクトリーにエントリーがシンボリックリンクとして含まれるアーカイブのターゲットが存在しない場合は、ディレクトリー宛先の検証がバイパスされます。plexus-archiver はテスト範囲のアーティファクトであるため、MTR ディストリビューションには含まれていません。(WINDUP-4053)

EAP 7.0 以降をターゲットとする EAP 7.3 および EAP 7.4 ルール

この MTR リリースでは、ターゲットが EAP 7.2 以下の場合にルールが無視されるように、EAP 7.3 以降への移行をサポートするためにいくつかのルールが修正されています。(WINDUPRULE-1038)