Red Hat SummitRed Hat build of Apache Camel for Spring Boot のリリースノート
Red Hat build of Apache Camel の新機能
概要
第1章 Red Hat build of Apache Camel for Spring Boot 4.4 リリースノート
1.1. Red Hat build of Apache Camel for Spring Boot の機能
Red Hat build of Apache Camel for Spring Boot では、多くの Camel コンポーネントの Camel とスターターの自動設定を提供する Spring Boot の Camel サポートが導入されています。Camel コンテキストの独自の自動設定は、Spring コンテキストで使用可能な Camel ルートを自動検出し、主要な Camel ユーティリティー (プロデューサーテンプレート、コンシューマーテンプレート、型コンバーターなど) を Bean として登録します。
1.2. Red Hat build of Apache Camel for Spring Boot でサポートされているプラットフォーム、設定、データベース、エクステンション
- Red Hat build of Apache Camel for Spring Boot でサポートされているプラットフォーム、設定、およびデータベースの詳細は、カスタマーポータルの サポートされる構成 ページを参照してください (ログインが必要です)。
- Red Hat build of Apache Camel for Spring Boot エクステンションのリストは、Red Hat build of Apache Camel for Spring Boot リファレンス を参照してください (ログインが必要です)。
1.3. javax から jakarta へのパッケージ名前空間の変更
Java EE は Eclipse Foundation に移行し、Jakarta EE が設立されました。Jakarta EE 9 以降、すべての EE API に使用されるパッケージは jakarta.* に変更されました。
ドキュメント内のコードスニペットは jakarta.* 名前空間を使用するように更新されています。ただし、お客様のアプリケーションは注意してご確認いただく必要があります。
この変更は、Java SE に含まれる javax パッケージには影響しません。
アプリケーションを EE 10 に移行する場合は、次のことを行う必要があります。
-
import ステートメントまたはその他のソースコードにおける EE API クラスの使用を
javaxパッケージからjakartaに更新します。 -
名前が
javax.で始まる EE 指定のシステムプロパティーまたはその他の設定プロパティーを、jakarta.で始まるものに変更します。 -
META-INF/services/jakarta.[rest_of_name]名前形式を使用して、実装 EE インターフェイスを使用するアプリケーション内の実装クラス、またはjava.util.ServiceLoaderメカニズムでブートストラップされる抽象クラスを識別します。
1.3.1. 移行ツール
- ソースコードの移行: How to use Red Hat Migration Toolkit for Auto-Migration of an Application to the Jakarta EE 10 Namespace
- バイトコード変換: ソースコードの移行が可能ではない場合は、オープンソースの Eclipse Transformer
関連情報
1.4. Red Hat build of Apache Camel for Spring Boot に関する重要事項
1.4.1. IBM Power および IBM Z のサポート
Red Hat build of Camel Spring Boot が IBM Power および IBM Z でサポートされるようになりました。
1.4.2. EIP サーキットブレーカーのサポート
Camel Spring Boot の Circuit Breaker EIP は、Resilience4j 設定をサポートしています。この設定は、Resilience4j との統合を提供し、Camel ルートでサーキットブレーカーとして使用されます。
1.4.3. ステートフルトランザクションのサポート
Red Hat build of Camel Example Spring Boot は、Camel Spring Boot JTA クイックスタート を提供します。このクイックスタートでは、データベース (MySQL) とメッセージブローカー (Artemis) という 2 つの外部トランザクションリソースで JTA トランザクションをサポートする Camel Service を Spring Boot 上で実行する方法を示します。これらの外部リソースは OpenShift によって提供され、このクイックスタートを実行する前に起動する必要があります。
1.5. Red Hat build of Apache Camel for Spring Boot ビルドの修正された問題
次のセクションでは、Red Hat build of Apache Camel for Spring Boot で解決された問題を記載します。
- 「Red Hat build of Apache Camel for Spring Boot バージョン 4.4.4 で修正された問題」
- 「Red Hat build of Apache Camel for Spring Boot バージョン 4.4.3 で修正された問題」
- 「Red Hat build of Apache Camel for Spring Boot バージョン 4.4.2 で修正された問題」
- 「Red Hat build of Apache Camel for Spring Boot バージョン 4.4.1 で修正された問題」
- 「Red Hat build of Apache Camel for Spring Boot バージョン 4.4.0 の機能強化」
- 「Red Hat build of Apache Camel for Spring Boot バージョン 4.4.0 で修正された問題」
1.5.1. Red Hat build of Apache Camel for Spring Boot バージョン 4.4.4 で修正された問題
以下のセクションでは、Red Hat build of Apache Camel for Spring Boot version 4.4.4 で解決された問題をリストします。
| 問題 | 説明 |
|---|---|
| CVE-2024-51132 ca.uhn.hapi.fhir/org.hl7.fhir.dstu2: 特別に細工されたリクエストによる任意のコード実行 | |
| CVE-2024-51132 ca.uhn.hapi.fhir/org.hl7.fhir.dstu2016may: 特別に細工されたリクエストによる任意のコード実行 | |
| CVE-2024-51132 ca.uhn.hapi.fhir/org.hl7.fhir.dstu3: 特別に細工されたリクエストによる任意のコード実行 | |
| CVE-2024-51132 ca.uhn.hapi.fhir/org.hl7.fhir.r4: 特別に細工されたリクエストによる任意のコード実行 | |
| CVE-2024-51132 ca.uhn.hapi.fhir/org.hl7.fhir.r5: 特別に細工されたリクエストによる任意のコード実行 | |
| CVE-2024-51132 ca.uhn.hapi.fhir/org.hl7.fhir.utilities: 特別に細工されたリクエストによる任意のコード実行 | |
|
CVE-2024-52007 ca.uhn.hapi.fhir/org.hl7.fhir.dstu2016may: | |
|
CVE-2024-52007 ca.uhn.hapi.fhir/org.hl7.fhir.dstu3: | |
|
CVE-2024-52007 ca.uhn.hapi.fhir/org.hl7.fhir.r4: | |
|
CVE-2024-52007 ca.uhn.hapi.fhir/org.hl7.fhir.r5: | |
|
CVE-2024-52007 ca.uhn.hapi.fhir/org.hl7.fhir.utilities: | |
| Spring Boot 3.2.11 へのアップグレード |
1.5.2. Red Hat build of Apache Camel for Spring Boot バージョン 4.4.3 で修正された問題
以下のセクションでは、Red Hat build of Apache Camel for Spring Boot version 4.4.3 で解決された問題をリストします。
| 問題 | 説明 |
|---|---|
| CSB プラットフォーム BOM で Agroal バージョンを定義する | |
| [CAMEL-20790]kafka のバッチ処理コンシューマーポーリングが負荷時に NPE でランダムに失敗する | |
| CVE-2023-52428 com.nimbusds/nimbus-jose-jwt: 大きな JWE p2c ヘッダー値によりサービス拒否が発生する | |
|
CVE-2024-45294 ca.uhn.hapi.fhir/org.hl7.fhir.dstu2016may: | |
|
CVE-2024-45294 ca.uhn.hapi.fhir/org.hl7.fhir.dstu3: | |
|
CVE-2024-45294 ca.uhn.hapi.fhir/org.hl7.fhir.r4: | |
|
CVE-2024-45294 ca.uhn.hapi.fhir/org.hl7.fhir.r5: | |
|
CVE-2024-45294 ca.uhn.hapi.fhir/org.hl7.fhir.utilities: | |
| CVE-2024-38816 org.springframework/spring-webmvc: RouterFunctions と FileSystemResource を使用した Spring アプリケーションにおけるパストラバーサルの脆弱性 | |
| Camel を 4.0 から 4.4 にアップグレードした後、Camel ルートカバレッジが機能しない | |
| CVE-2024-7254 protobuf: プロトコルバッファーにおける StackOverflow の脆弱性 | |
| camel-cics: プロトコルオプションが CICSConfiguration クラスにハードコードされる | |
| CVE-2024-38809 org.springframework/spring-web: 条件付き HTTP リクエストによる Spring Framework DoS | |
| 負荷がかかった状態での Camel Jaxb の過剰なロック | |
| CVE-2021-44549 org.eclipse.angus/angus-mail: より安全な SMTPS 通信のためのセキュアサーバーアイデンティティーチェックの有効化 | |
| CVE-2024-47561 org.apache.avro/avro: スキーマ解析によりリモートコード実行 (RCE) が引き起こされる可能性がある | |
| OpenTelemetry で CXF 非同期呼び出しに対処する |
1.5.3. Red Hat build of Apache Camel for Spring Boot バージョン 4.4.2 で修正された問題
以下のセクションでは、Red Hat build of Apache Camel for Spring Boot バージョン 4.4.2 で解決された問題をリストします。
| 問題 | 説明 |
|---|---|
| CVE-2024-41172 org.apache.cxf/cxf-rt-transports-http: CXF HTTP クライアントでメモリー消費が制限されません | |
| RecipientList を使用した OOM | |
| CVE-2024-7885 undertow: プロキシープロトコル解析での不適切な状態管理により情報漏洩が発生します | |
| CVE-2024-38808 org.springframework/spring-expression: NVD コレクターから | |
| CSB 4.4.x から Spring Boot 3.2.9 へのアップグレード | |
| artemis 2.33 以降では、artemis-lockmanager が優先され、artemis-quorum-api が削除されました。 | |
| azure-servicebus: credentialType が AZURE_IDENTITY の場合に FQNS が正しく設定されていません | |
| camel-xslt - すべてのエクスチェンジプロパティーが使用可能である必要があります | |
| REST OpenApi が URL からのホストの解決に失敗します | |
| camel-Hashicorp-Vault: Get Secret 操作で secretPath 設定パラメーターが考慮されません |
1.5.4. Red Hat build of Apache Camel for Spring Boot バージョン 4.4.1 で修正された問題
以下のセクションでは、Red Hat build of Apache Camel for Spring Boot バージョン 4.4.1 で解決された問題をリストします。
| 問題 | 説明 |
|---|---|
| [CSB の例] - camel-jira の例で javax 依存関係が要求される | |
| Camel AWS Kinesis: チェックポイントのサポート | |
| CVE-2022-41678 activemq: Apache ActiveMQ: 認証されたユーザーが RCE を実行できる Jolokia のデシリアル化の脆弱性 | |
| camel-spring-boot-bom は引き続きアップストリームの Artemis クライアントライブラリーを参照し、これらを混在させるとエラーが発生します。 | |
| CVE-2023-51079 mvel: ParseTools.subCompileExpression() 関数呼び出し時における TimeOut エラーの発生 | |
| CVE-2024-1023 vert.x: io.vertx/vertx-core: Vertx での Netty FastThreadLocal データ構造の使用によるメモリーリーク | |
| CVE-2024-1300 vertx-core: io.vertx:vertx-core: TCP サーバーが TLS および SNI サポートで設定されている場合のメモリーリーク | |
| CVE-2024-22201 jetty: 有効なクライアントからの新しい接続の受け入れを停止します | |
| CVE-2024-1597 pgjdbc: PostgreSQL JDBC Driver では、PreferQueryMode=SIMPLE を使用している場合、攻撃者は SQL を注入できます | |
| CVE-2024-1597 pgjdbc: PostgreSQL JDBC Driver では、PreferQueryMode=SIMPLE を使用している場合、攻撃者は SQL を注入できます | |
| CVE-2024-22257 spring-security: AuthenticatedVoter を直接使用した場合のアクセス制御の不具合 | |
| CVE-2024-29025 netty-codec-http: 制限やスロットリングのないリソースの割り当て | |
| CVE-2024-23081 threetenbp: null ポインター例外 | |
| camel-saxon が使用する Saxon ライブラリーが xml ノードを誤変換します | |
| プラットフォーム bom でオーバーライドするアーティファクトのリストに jackson-bom が含まれる | |
| CVE-2024-30171 org.bouncycastle-bcprov-jdk18on: bc-java: Bleichenbacher のタイミングバリアントに対する BouncyCastle の脆弱性 (Marvin Attack) | |
| Camel ドキュメントの「HTTP クライアントの SSL の設定」のバグ | |
| camel-jbang - "-camel-spring-boot-version" オプションで生成された pom.xml にガベッジ文字が含まれます | |
| CSB 4.4 で XPath の変換に失敗します | |
| [camel-cics] CICS トランザクションが失敗するとメッセージボディーがリセットされる | |
| 失敗したルートは spring-boot actuator/camelroutes に表示される必要があります | |
| camel-jbang export コマンドによって生成された pom.xml ファイルは Red Hat 製品に適していません | |
| "camel-spring-boot-version" オプションを指定した camel export コマンドが機能しません | |
| Message.getBody(Class) メソッドの予期しない動作変更 | |
| CVE-2024-5971 undertow: Java 17 TLSv1.3 NewSessionTicket の場合に応答書き込みがハングする | |
| JMS の例を介した request-reply は、concurrentConsumers ではなく replyToConcurrentConsumers を使用する必要があります | |
| CVE-2024-30172 org.bouncycastle:bcprov-jdk18on: ScalarUtil クラスの ED25519 検証における無限ループ | |
| CVE-2024-29857 org.bouncycastle:bcprov-jdk18on: org.bouncycastle: F2m パラメーターが細工された EC 証明書をインポートすると、サービス拒否につながる可能性があります | |
| CVE-2024-6162 undertow: URL でエンコードされたリクエストパス情報が ajp-listener で壊れる可能性があります | |
| Maven リポジトリーに Jackson Jakarta RS XML プロバイダーがありません | |
| CAMEL-20921 - Camel アプリケーションの XML ファイルにルート設定がロードされていません | |
| boucy castle 1.78 にアップグレードすると camel-crypto が破損します | |
| サポートされていないコンポーネントに 4.4.0-SNAPSHOT バージョンが表示されます |
1.5.5. Red Hat build of Apache Camel for Spring Boot バージョン 4.4.0 の機能強化
以下のセクションでは、Red Hat build of Apache Camel for Spring Boot version 4.4.0 で解決された問題をリストします。
| 問題 | 説明 |
|---|---|
| Spring Boot の Camel 向け Hawtio コンソールのサポート | |
| camel-olingo4 サポート | |
| Kafka バッチコンシューマーの追加 | |
| [RFE] サポートコンポーネント camel-smb | |
| XML IO DSL を拡張して YAML DSL のような Bean のサポート | |
| IBM Z/P 向け Camel for Spring Boot サポート | |
| camel-ssh コンポーネントのアルゴリズムを設定するためのサポートを提供 | |
| camel-flink のサポートを追加 | |
| Azure Blob ストレージに Azure SAS サポートを追加 | |
| 新しい Camel CICS コンポーネントの作成とサポート | |
| サポートコンポーネント camel-splunk | |
| オフライン Maven Builder スクリプト | |
| サポートコンポーネント camel-jasypt | |
| サポートコンポーネント camel-kudu | |
| cxf-integration-tracing-opentelemetry のサポート | |
| サポートコンポーネント camel-groovy | |
| BeanIO サポート | |
| camel-cics - チャネル経由の接続をサポート |
1.5.6. Red Hat build of Apache Camel for Spring Boot バージョン 4.4.0 で修正された問題
| 問題 | 説明 |
|---|---|
| CVE-2023-35116 jackson-databind: 循環依存関係によるサービス拒否 | |
| CVE-2023-2976 guava: セキュアでない一時ディレクトリーの作成 | |
| AWS SQS コンポーネント: OCP プローブが POD エラーを引き起こす | |
| [Micrometer 可観測性] MDC でトレース ID とスパン ID が表示されない | |
| 接続プールで使用される Camel AMQP/JMS の例を提供してください。 | |
| CVE-2023-5632 mosquitto: CPE の過剰消費によるサービス拒否の可能性 | |
| [camel-mail] java.lang.ClassNotFoundException: org.eclipse.angus.mail.imap.IMAPStore | |
| CXF と JSON パスを使用する場合の org.ow2.asm:asm の依存関係収束エラー | |
| org.bouncycastle:bcprov-jdk18on:jar:1.72 の依存関係収束エラー | |
| findAndModify 操作のサポートを追加 | |
| CVE-2023-51074 json-path: Criteria.parse メソッドのスタックベースのバッファーオーバーフロー | |
| cxf-integration-tracing-opentelemetry のサポート | |
| CVE-2024-21733 tomcat: デフォルトのエラーページで関連のないリクエスト本文が漏洩する | |
| camel-bean - コンポーネント上の Bean イントロスペクションキャッシュの設定を許可する | |
| cxf-rt-rs-service-description-openapi-v3:4.0.2.fuse-redhat-00046 と camel-openapi-java-starter:4.0.0.redhat-00039 を使用すると依存関係収束エラーが発生する | |
| CVE-2023-45860 Hazelcast: CSV File Source コネクターでの権限チェック | |
| AMQP パブリッシャーアプリケーションは、ローカル JMS トランザクションを有効にするとメッセージを失う | |
| CVE-2024-26308 commons-compress: 壊れた Pack200 ファイルの展開時に OutOfMemoryError が発生する | |
| commons-compress: 破損した DUMP ファイルの無限ループによるサービス拒否 [rhint-camel-spring-boot-4] | |
| XML DSL IO を使用する場合、restConfiguration セクションは無視される | |
| XML を JSON にマーシャリング/アンマーシャリングする際の問題 | |
| CVE-2023-5685 xnio: 通知状態のチェーンが問題になるほど大きくなると StackOverflowException が発生する | |
| onException ハンドラーを servlet/platform-http とともに使用すると、レスポンス本文にコンテンツが設定されない | |
| [Camel-sap] CSB 設定プロパティーを介して SAP サーバーに接続できない | |
| camel-file - 孤立マーカーファイルチェックで最小/最大深度を使用する場合に、ant フィルターを最適化することは可能か? | |
| ユーザーが OpenTelemetryTracingStrategy と opentelemetry.exclude-patterns を使用して "direct*" を除外すると NPE が発生する | |
| OpenTelemetryTracingStrategy は、opentelemetry.exclude-patterns の "process*" または "bean*" を使用してトレースを 2 つのブランチに分割する | |
| camel-cics で接続プーリングを提供するためのリクエスト | |
| Jose P2C パラメーターにデフォルトの設定可能な上限を設定し、WadlGenerator 内のスタイルシートのみを明示的に返し、他の URL は返さないようにする | |
| JMS* ヘッダーの Kafka トピックからの Camel 4 での byte[] から Long への型変換エラー | |
| camel-salesforce - 起動エラー | |
| CVE-2024-22262 springframework: ホスト検証による URL 解析 | |
| CVE-2024-29736 org.apache.cxf/cxf-rt-rs-service-description: WADL スタイルシートパラメーター経由の SSRF | |
| CVE-2024-32007 org.apache.cxf/cxf-rt-rs-security-jose: apache: cxf: org.apache.cxf:cxf-rt-rs-security-jose: JOSE におけるサービス拒否の脆弱性 |
1.6. Red Hat build of Apache Camel for Spring Boot の既知の問題
次のセクションでは、Red Hat build of Apache Camel for Spring Boot に関する既知の問題を記載します。
1.6.1. Red Hat build of Apache Camel for Spring Boot バージョン 4.4 で既知の問題
- CSB-4318 spring.boot.actuator.autoconfigure が依存関係にないと、Openshift Maven プラグインを使用して OCP にデプロイできない
Jkube Maven プラグインは、次の条件を使用して、アプリケーションがヘルスエンドポイントを公開しているかどうかを確認します (
SpringBootHealthCheckEnricherを使用)。両方のクラスはクラスパス内にあります。-
org.springframework.boot.actuate.health.HealthIndicator -
org.springframework.web.context.support.GenericWebApplicationContext
-
ただし、actuator の設定がなければ、/actuator/health は公開されません。これにより、JKube によって設定された readiness/liveness プローブ (両方とも上記のエンドポイントを使用) とアプリケーションが公開している内容との間に不一致が生じます。
この誤った設定により、エンドポイントに対するプローブの呼び出しが設定されていないため、生成された Pod が準備完了ステータスにならないため、OpenShift Container Platform でのデプロイメント設定が失敗します。したがって、JKube (openshift-maven-plugin) を使用してデプロイされる OpenShift Container Platform 上でアプリケーションを動作させるには、依存関係に Web と actuator の両方の自動設定が必要です。
次の例は、Web および actuator の自動設定を設定する方法を示しています。
例
以下のようにアーキタイプを更新します。次のアーキタイプから構築されたアプリケーションは、JKube を使用して正しくデプロイされます。
この問題は、上記の依存関係のいずれかが欠落しているカスタムアプリケーションに影響します。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}