3.12. Quarkus REST クライアントのセキュリティー更新による CVE-2020-25633 の解決

Red Hat ビルドの Quarkus 1.11 で利用可能な quarkus-rest-client エクステンションは、CVE-2020-25633 セキュリティー問題を解決する更新の一部として導入された、MicroProfile REST クライアントおよび JAX-RS クライアントによる WebApplicationException の処理の変更の影響を受けます。

セキュリティー更新により、RESTEasy バージョン 4.5.9 では、クライアントアプリケーションが WebApplicationException を返す際の Response の処理方法が変更されます。4.5.9 の更新前は、ローカルドメインのリモートサーバーから送信された Response には、承認されていないユーザーがアクセスする可能性があるリモートサーバー (Cookie など) に関する機密情報が含まれていました。

RESTEasy 4.5.9 の更新により、Response の内容の処理方法が変更されます。ローカルサーバーが Response を受け取ると、RESTEasy は Response を保存する前にすべての機密コンテンツを削除しますが、ローカルサーバーが必要に応じて Response の元のコンテンツにアクセスできる方法を保持します。

この例外処理の変更により、ローカルサーバーに機密性の高いコンテンツを格納することに関連するセキュリティーリスクを回避できるようになりましたが、RESTEasy バージョン 4.5.9 を使用するクライアントは引き続き JAX-RS 仕様と互換性を保つことができます。

RESTEasy バージョン 4.5.9 への Response コンテンツの保存の変更に関する詳細は、RESTEasy 4.5.9 ドキュメントの WebApplicationException のセクションを参照してください。