Red Hat Summit1.7. Apicurio Registry が解決した CVE
次の Common Vulnerabilities and Exposures (CVE) は Apicurio Registry 2.5 で解決されています。
| CVE | 説明 |
|---|---|
| Eclipse Vert.x ツールキットの脆弱性により、Netty FastThreadLocal データ構造の使用によりメモリーリークが発生します。 | |
| Eclipse Vert.x ツールキットの脆弱性により、TLS および SNI サポートが設定された TCP サーバーでメモリーリークが発生します。 | |
| Apache Commons Compress に、制限のないリソースの割り当てやスロットリングの脆弱性が見つかりました。 | |
| Apache Common Compress に、到達不可能な終了条件を持つループ (無限ループ) の脆弱性が見つかりました。 | |
| io.netty:netty-codec-http パッケージに不具合が見つかりました。このパッケージの影響を受けるバージョンは、HttpPostRequestDecoder 内のデータが蓄積されるため、制限なしのリソース割り当てまたはスロットルに対して脆弱です。 |
| CVE | 説明 |
|---|---|
| 悪用が困難な脆弱性により、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition を侵害する可能性があります。 | |
| 悪用が困難な脆弱性により、権限の低い攻撃者が Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition が実行されるインフラストラクチャーにログオンし、Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition を侵害する可能性があります。 | |
| 簡単に悪用可能な脆弱性により、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition を侵害する可能性があります。 | |
| Libxml2 に不具合が見つかりました。この不具合には、/libxml2/SAX2.c にある xmlSAX2StartElement() 関数によるグローバルバッファーオーバーフローが含まれています。 | |
| Avahi に脆弱性が見つかりました。到達可能なアサーションが avahi_alternative_host_name() 関数に存在します。 | |
| Avahi に脆弱性が見つかりました。到達可能なアサーションが avahi_rdata_parse() 関数に存在します。 | |
| Avahi に脆弱性が見つかりました。到達可能なアサーションが dbus_set_host_name 関数に存在します。 | |
| Avahi に脆弱性が見つかりました。到達可能なアサーションが avahi_escape_label() 関数に存在します。 | |
| Avahi に脆弱性が見つかり、到達可能なアサーションが avahi_dns_packet_append_record に存在します。 | |
| 3.11.3 までの Python のメールモジュールは、特殊文字を含むメールアドレスを誤って解析します。 | |
| SQLite3 に脆弱性が見つかりました。この問題は、make alltest Handler コンポーネントの ext/session/sqlite3session.c 関数の sessionReadRecord 関数に影響を与えます。操作により、ヒープベースのバッファーオーバーフローが発生する可能性があります。 | |
| RSA-PSK ClientKeyExchange の不正な暗号文に対する応答時間が、正しい PKCS#1 v1.5 パディングを使用した暗号文の応答時間と異なるという脆弱性が見つかりました。 | |
| OpenSSL に不具合が見つかり、長い X9.42 DH キーまたはパラメーターの生成または確認が、予想よりも大幅に遅くなりました。この問題はサービス拒否につながる可能性があります。 | |
| NSS で RSA 暗号化に使用されている数値ライブラリーから、RSA 復号結果の上位ビットが 0 かどうかの情報が漏洩していることが判明しました。 | |
| OpenSSL に脆弱性が見つかりました。このセキュリティー問題は、DH_check()、DH_check_ex()、または EVP_PKEY_param_check() 関数を使用して DH キーまたは DH パラメーターをチェックするアプリケーションで長い遅延が発生する可能性があるために発生します。 | |
| plistlib.py ファイルの read_ints() 関数内の Python コア plistlib ライブラリーに脆弱性が見つかりました。 | |
| heapq モジュールの heappushpop 関数を介して、Python で use-after-free の脆弱性が見つかりました。 | |
| avahi に不具合が見つかりました。avahi Unix ソケットでのクライアント接続の終了を通知するために使用されるイベントが client_work 関数で正しく処理されないため、ローカルの攻撃者が無限ループを引き起こすことになります。 |
| 問題 | 説明 |
|---|---|
| CVE-2023-5072 JSON-java: パーサーの混乱により OOM エラーが発生する | |
| CVE-2023-31582 jose4j: 反復回数の設定がセキュアでない | |
| CVE-2023-44487 の概要: HTTP/2: 複数の HTTP/2 対応 Web サーバーが DDoS 攻撃 (ラピッドリセット攻撃) からの影響を受ける | |
| CVE-2023-39410 avro: apache-avro: Apache Avro Java SDK: Avro Java SDK で信頼できないデータをデシリアライズするときのメモリー | |
| CVE-2023-4853 quarkus-vertx-http: quarkus: HTTP セキュリティーポリシーの回避 | |
| CVE-2023-39321 CVE-2023-39322 integration-service-registry-operator-container: さまざまな欠陥 | |
| CVE-2023-29409 integration-service-registry-operator-container: golang: crypto/tls: 大きな RSA キーを含む証明書チェーンの検証が遅い | |
| CVE-2023-29406 integration-service-registry-operator-container: golang: net/http: ホストヘッダーのサニタイズが不十分である | |
| CVE-2023-34462 netty: SniHandler の 16 MB の割り当てにより OutOfMemoryError が発生する | |
| CVE-2023-34455 snappy-java: チャンク長がチェックされていないと DoS が発生する | |
| CVE-2023-35116 jackson-databind: cyclic 依存関係によるサービス拒否 | |
| CVE-2023-1584 quarkus-oidc: ID とアクセストークンが認可コードフロー経由で漏洩する |
| CVE | 説明 |
|---|---|
| JSR 105 API を使用する場合、Apache Santuario - XML Security for Java の 2.2.6、2.3.4、および 3.0.3 未満のすべてのバージョンは、XML 署名が生成され、デバッグレベルのロギングが有効になっている場合に、ログファイルに秘密鍵が開示され得るという問題に対して脆弱である | |
| Java のデータ圧縮ライブラリーである snappy-java の SnappyInputStream で欠陥が検出される。この問題は、チャンク長の上限チェックが欠落した結果、チャンクサイズが大きすぎるデータを解凍するときに発生する | |
| Apache Commons Compress: 不正な形式の TAR ファイルの CPU 消費によるサービス拒否 | |
| Python 3 ssl.SSLSocket が、HTTPS サーバー、および TLS クライアント認証 (mTLS など) を使用するその他のサーバー側プロトコルの特定のインスタンスで、TLS ハンドシェイクの回避に対して脆弱である | |
| kaml でタグ付きポリモーフィズムスタイルを使用したポリモーフィックな入力を解析する際のサービス拒否 | |
| Snappy-java の shuffle 関数に、演算開始前に入力サイズをチェックしないという欠陥が発見される | |
| ncurses に、setuid アプリケーションで使用すると生じる脆弱性が発見される | |
| kaml でアンカーとエイリアスを使用して入力を解析する際にサービス拒否が発生する可能性がある | |
| netty でマルチパートデコーダを使用する場合、ディスクへのアップロードの一時保存が有効になっていると、ローカルシステムの一時ディレクトリーを介してローカル情報が開示される可能性がある | |
| GLIBC_TUNABLES 環境変数の処理中に、GNU C ライブラリーの動的ローダー ld.so でバッファーオーバーフローが検出される | |
| glibc で欠陥が発見される。まれに、gaih_inet 関数が解放されたメモリーを使用し、アプリケーションがクラッシュする | |
| glibc で欠陥が発見される。極めてまれに、getaddrinfo 関数が解放されたメモリーにアクセスし、アプリケーションがクラッシュする | |
| glibc で欠陥が発見される。getaddrinfo 関数が AF_UNSPEC アドレスファミリーで呼び出され、システムが /etc/resolv.conf 経由で no-aaaa モードで設定されている場合、2048 バイトを超える TCP 経由の DNS 応答により、関数が返すアドレスデータを通じてスタックコンテンツが開示され、クラッシュを引き起こす可能性がある |
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}