1.8. バグ修正

Red Hat ビルドの Quarkus 2.13.9.SP2

• CVE-2024-1597 org.postgresql/postgresql:pgjdbc: PostgreSQL JDBC ドライバーを使用すると、攻撃者は PreferQueryMode=SIMPLEを使用する場合は SQL を挿入できます。
• CVE-2024-25710 org.apache.commons/commons-compress: 破損した DUMP ファイルの無限ループによって引き起こされたサービス拒否
• CVE-2024-26308 org.apache.commons/commons-compress:OutOfMemoryError unpacking broken Pack200 file

Red Hat ビルドの Quarkus 2.13.9.SP1

• CVE-2023-5675 io.quarkus.resteasy.reactive/resteasy-reactive: quarkus: "quarkus.security.jaxrs.deny-unannotated-endpoints" または "quarkus.security.jaxrs.default-roles-allowed" プロパティーが使用されている場合の Quarkus RestEasy Reactive および Classic の認証の不具合
• CVE-2023-6267 io.quarkus/quarkus-resteasy: quarkus: REST リソースがアノテーションとともに使用される場合、セキュリティーチェックの前に JSON ペイロードが処理される

Red Hat ビルドの Quarkus 2.13.9

• CVE-2023-6393 Quarkus キャッシュランタイムの脆弱性： @CacheResult の使用におけるコンテキスト切り替えの問題
• CVE-2023-39410 Apache Avro Java SDK: Avro Java SDK で信頼できないデータをデシリアライズする際のメモリー
• CVE-2023-35887 Apache Mina SSHD: SFTP サーバー実装での情報公開
• CVE-2023-43642 Snappy Java: チャンクの長さに上限チェックを実装することで、潜在的なサービス拒否(DoS)の脆弱性を解決
• CVE-2023-31582 Jose4j: 反復回数設定の強化、セキュリティー対策の強化、および関連するリスクの軽減
• CVE-2023-34453 Snappy Java: シャッフルでの整数オーバーフローにより DoS が発生する
• CVE-2023-34454 Snappy Java: 圧縮時の整数オーバーフローが DoS を引き起こす
• CVE-2023-34455 Snappy Java: チェックされていないチャンクの長さが DoS を引き起こす
• CVE-2023-2976 Guava: 非セキュアな一時ディレクトリーの作成
• CVE-2023-34462 Netty: SniHandler 16MB の割り当てにより OOM が発生する

Red Hat ビルドの Quarkus 2.13.8.SP3

• CVE-2023-44487 HTTP/2: 複数の HTTP/2-enabled Web サーバーが DDoS 攻撃に対して脆弱です(Rapid Reset Attack)。

Red Hat ビルドの Quarkus 2.13.8.SP2

• CVE-2023-4853 Quarkus セキュリティーポリシー Bypass

Red Hat ビルドの Quarkus 2.13.8

• CVE-2023-26053 gradle: PGP キーの長い ID の使用は安全ではないため、競合攻撃の対象となります

• CVE-2022-3782 keycloak: 二重 URL エンコーディングによるパストラバーサル
• CVE-2023-0481 io.quarkus-quarkus-parent:quarkus: Insecure permissions on temp files
• CVE-2023-0482 RESTEasy: 安全でない一時ファイルの作成
• CVE-2023-1584 quarkus-oidc: 認可コードフロー経由で ID とアクセストークンの漏洩
• CVE-2023-28867 graphql-java: 細工された GraphQL クエリーによりスタック消費が発生します
• CVE-2022-45787 apache-james-mime4j: MIME4J TempFileStorageProvider での一時ファイル情報の漏洩
• CVE-2022-3171 protobuf-java: パーサーのタイムアウトにより DoS が発生する
• CVE-2022-4116 quarkus_dev_ui: Dev UI Config Editor は、RCE につながるローカルホスト攻撃によるドライブによる攻撃に対して脆弱です。
• CVE-2022-31197 postgresql: ResultSet.refreshRow （） の SQL Injection と悪意のある列名

• CVE-2022-37734 graphql-java: 悪意のあるクエリーによる DoS
• CVE-2022-42003 jackson-databind: UNWRAP_SINGLE_VALUE_ARRAYS に関する深いラッパー配列のネスト
• CVE-2022-42004 jackson-databind: 深くネストされた配列の使用
• CVE-2022-42889 commons-text,apache-commons-text: 変数の補間 RCE
• CVE-2022-41946 jdbc-postgresql、postgresql-jdbc:PreparedStatement.setText (int, InputStream ) が 2k より大きい場合、一時ファイルを作成します
• CVE-2023-0044 quarkus-vertx-http: クロスサイト攻撃が開始され、情報の漏えいにつながる可能性があります。
• CVE-2022-41881 codec-haproxy: HAProxyMessageDecoder Stack Exhaustion DoS
• CVE-2022-45047 sshd-common、mina-sshd: Java の安全でない逆シリアル化の脆弱性

Red Hat ビルドの Quarkus 2.13.8

• QUARKUS-2214 Ban org.javassist:javassist
• QUARKUS-2221 プラットフォームジェネレーターは、1 つの参加者が必要とし、別の参加者が管理する制約を自動追加する必要があります。
• QUARKUS-2230Introduc e OpenShift ベースの CI がアップストリームで実行される
• QUARKUS-2238 code.quarkus.io および code.quarkus.redhat.com の Chrome タブでのクラッシュ
• QUARKUS-2246 Integrate Vertx HTTP 拡張機能とカスタム CredentialsProvider
• QUARKUS-2284 OpenShift Serverless が、OpenShift Serverless Functions を使用する場合にこれをサポートするように要求している
• QUARKUS-2328 TP からフルサポートへの Qute Templating のプロモート
• QUARKUS-2329 TP から完全サポートへの RESTEasy Reactive Qute のプロモート
• QUARKUS-2330 TP から完全サポートへの RESTEasy Qute のプロモート
• QUARKUS-2331 Kubernetes Config 拡張機能の TP からフルサポートへのプロモート
• QUARKUS-2332 Reactive DB2 クライアントのドロップ TP サポート
• QUARKUS-2335 アプリケーションは、Quarkus ネイティブビルドでより多くの CPU リソースを消費します。
• QUARKUS-2349 ネイティブアプリケーション用に Java 17 とドロップ Java 11 をサポートします。
• QUARKUS-2367: OpenShift Serverless に必要な Funqy 拡張をサポート対象ステータスに移動する
• QUARKUS-2387 TP からフルサポートへの Mailer 拡張のプロモート
• QUARKUS-2388 Spring Data REST の TP からフルサポートへのプロモート
• QUARKUS-2389 OpenID Connect Client Filter Reactive を TP からフルサポートに
• QUARKUS-2390 quarkus-hibernate-orm-rest-data-panache 拡張を TP からフルサポートにプロモート
• QUARKUS-2392 RESTEasy Mutiny のテクノロジープレビューサポート
• QUARKUS-2393 REST Client 拡張機能の Mutiny サポートのドロップテクノロジープレビュー
• QUARKUS-2394 OpenTelemetry Jaeger エクスポーターのドロップ TP
• QUARKUS-2395: セキュリティー JPA 拡張からの TP ドロップ
• QUARKUS-2396 Eclipse Vert.x GraphQL のドロップ TP
• QUARKUS-2453 (quarkus-reactive-routes エクステンションを非推奨化)
• QUARKUS-2473 Repositories declared in quarkus-platform-config-2.13.0.CR1-redhat-00001.pom
• QUARKUS-2478 Microsoft SQL JDBC ドライバーを 11.2.0.jre11 に更新
• QUARKUS-2479 SmallRye Config SecretKeys サポート
• QUARKUS-2480 アノテーション付き Bean を介して Hibernate Search を設定するための @SearchExtension を導入
• QUARKUS-2481 JAXB コンテキストのカスタム設定を指定
• QUARKUS-2482 quarkus-extension-maven-plugin が優先される quarkus-bootstrap-maven-plugin を非推奨化
• QUARKUS-2483 SQL クライアントに対する Kubernetes サービスバインディングのサポート
• QUARKUS-2484 SmallRye Reactive Messaging 3.16
• QUARKUS-2485 SmallRye GraphQL 非ブロッキングサポート
• QUARKUS-2486 Keycloak が 18 を超えました。
• QUARKUS-2487 Reactive Routes および RESTEasy Reactive の圧縮サポート
• QUARKUS-2489 OIDC Back channel logout
• QUARKUS-2490 特定のパスの HTTP ヘッダーを追加する
• QUARKUS-2491 OIDC - Proof Of Key for Code Exchange (PKCE)のサポート
• QUARKUS-2492 QuarkusTransaction API
• QUARKUS-2538 Quarkus が製品化プロセスの一部として依存する製品を一覧表示
• QUARKUS-2558 Day -9: [Eng] EARF と ProdSec を更新する必要があるかどうかを確認する
• OIDC BackChannelLogoutHandler の QUARKUS-2592 NPE
• QUARKUS-2672 Infinispan クライアントは新しくリリースされた Red Hat Data Grid 8.4 と整合していません。
• QUARKUS-2693 Keycloak コンテナーが devmode で起動できない
• QUARKUS-2706 Quarkus CLI が io.quarkus:quarkus-bom のエクステンションカタログを解決できない
• QUARKUS-2758 flapdoodle を 3.5.2 にアップグレードし、それを Dependabot に追加します。
• QUARKUS-2759 適切な汎用型を RestResponse とともに使用する
• QUARKUS-2760 HTTP リファレンスガイド の HTTPS ポート設定を追加
• QUARKUS-2761 仮想スレッドのドキュメントにあるメソッド名の再名前
• QUARKUS-2762 Web サイトのドキュメントブランチを同期するときにディレクトリーを作成する
• QUARKUS-2763 セキュリティーガイドのリストが壊れたマークアップの修正
• QUARKUS-2764 アップグレード narayana から 5.13.1.Final
• QUARKUS-2765 Misc 4 ネイティブジョブに対して高いタイムアウトを設定します
• QUARKUS-2766 Quartz: 後方互換性を追加する
• QUARKUS-2767 テストクラス前のコンパイルアプリケーションクラス
• QUARKUS-2768 Fixed code in stork-reference.adoc
• QUARKUS-2769 仮想スレッドドキュメントでのコンパイルエラー
• QUARKUS-2770 最新の brew openjdk パッケージの更新
• QUARKUS-2771 /devtools/gradle 内の 1.0.0 から 1.1.0 への Bump com.gradle.plugin-publish
• Stork ガイドの QUARKUS-2772 Fixed エラー
• QUARKUS-2773 Fix IsDockerWorking class not using TestContainersStrategy
• QUARKUS-2774 コンテナービルドにデフォルトで Mandrel を使用します。
• QUARKUS-2775 ドキュメント：CA 証明書埋め込みに関する修正ステートメント
• QUARKUS-2776 仮想スレッドガイドの Correct 誤字とコードスタイル
• QUARKUS-2777 ターゲットをすぐに削除する代わりに、ターゲットがすでに存在する場合に一時的な uber-jar を生成します。
• QUARKUS-2778 Demote the "test dir mapping" ログメッセージをデバッグします。
• QUARKUS-2779 ドキュメントの修正テーブルエントリー
• QUARKUS-2780 Kubernetes クライアント拡張の ExtensionAdapter のすべての実装を登録する
• QUARKUS-2781 JReleaser 記述子の非推奨のプロパティーの置き換え
• QUARKUS-2782 仮想スレッドドキュメントでのコンパイルエラー
• QUARKUS-2783 aroundInvoke インターセプターが正しいメソッドパラメーターを取得することを確認する
• QUARKUS-2784 Mandrel 22.3 が -java11 イメージを提供しなくなったドキュメント
• QUARKUS-2785 重複コンテキストを伝播する場合は、リクエストスコープをドロップする
• QUARKUS-2786 REST データの javax.annotation.security アノテーションを伝播する
• QUARKUS-2787 Rest Data Panache: 正しい Open API 統合
• QUARKUS-2788 Panache REST Data 拡張機能での RolesAllowed の設定をサポート
• QUARKUS-2789 @QuarkusTest と @QuarkusMainTest を混在させることができます。
• QUARKUS-2790 ネイティブ GC ポリシーをスペース/時刻から適応に切り替えます（デフォルト）。
• QUARKUS-2829 Quarkus でマネージド Vert.x を使用する場合の Micrometer メトリクスの内部サポート
• QUARKUS-2835 Windows で DuplicatedContextTest#testThatBlockingEventConsumersAreCalledOnDuplicatedContext を無効にします
• QUARKUS-2836 Reduce Config startup footprint
• QUARKUS-2837 Backport Vert.x Metrics サポート
• QUARKUS-2838 OpenTelemetry - Fix missing char
• QUARKUS-2839 すべてのメソッドについて、Spring Data Rest のセキュリティーアノテーションを伝播します
• QUARKUS-2840 TestMojo がテストスコープの依存関係を解決していることを確認
• QUARKUS-2841 HTTP Vert.x 拡張の MultiPartConfig が十分に文書化されていません。
• QUARKUS-2842 CompletableFuture smart dispatch support
• QUARKUS-2843 quarkus-cache 拡張機能のステータスを stable に変更
• QUARKUS-2844 システムプロパティーから、Panache クエリーのハードコーディングされた行区切りへの切り替え
• QUARKUS-2845 ネイティブイメージのビルドの誤字の修正
• QUARKUS-2846 新しい行文字が Panache プロジェクションを中断しないことを確認する
• QUARKUS-2847 ワークスペースの読み込み中に、常に raw モデルをキャッシュに格納します
• QUARKUS-2925 / quarkus と maven リポジトリーの異なるバージョン
• QUARKUS-2978 ExceptionMapper<WebApplicationException> is not work in DEV mode
• QUARKUS-3158 ベアラートークンのみが想定される場合はセッションと PKCE 暗号化キーを作成しません
• QUARKUS-3159 2.13: CORS が有効な場合は、デフォルトで Origin をサポートしません。
• QUARKUS-3161 Fix security-csrf-prevention.adoc
• QUARKUS-3163 openjdk コンテナーイメージ 1.15 を使用するようにコード起動を更新する
• QUARKUS-3164 Logging with Panache: fix LocalVariablesSorter usage
• QUARKUS-3167: メンテナンスおよびプレビューリリース用に SDKMAN リリースのマイナーリリースを作成する
• QUARKUS-3168 Backport ConfigBuilder クラスがネイティブモードで 2.13 に動作することを確認する
• QUARKUS-3169 Narayana LRA コーディネーター Docker イメージ用の新しいホーム
• QUARKUS-3170 パスワードが設定されていない場合のトラストストア REST クライアント設定
• QUARKUS-3173 Reinitialize sun.security.pkcs11.P11Util （ランタイム時に）
• QUARKUS-3174 Prevent SSE 書き込みが原因でヘッダーが蓄積される可能性がある
• QUARKUS-3175 Filter out RESTEasy related warning in ProviderConfigInjectionWarningsTest
• QUARKUS-3176: 親モジュールに依存するモジュールの前にワークスペースにロードされていることを確認します。
• QUARKUS-3177 Fix copy paste error in qute docs
• QUARKUS-3178 ルートレスモードの場合のみ --userns=keep-id を Podman にパスします。
• QUARKUS-3179 送信されたチャレンジが再開したときに HTTP2 リクエストが停止する修正
• QUARKUS-3180 dev モードのソースおよびクラスパスを初期化するときに、有効な Maven プロジェクトのビルド設定を使用します。
• QUARKUS-3181 quarkus:go-offline がテストスコープの依存関係を適切にサポートしていることを確認してください。
• QUARKUS-3182 [2.13.x] - 新しいコンテナーイメージを使用するように 2.13 を更新
• QUARKUS-3184 ネイティブサポートに "ARRAY" ではなく SchemaType.ARRAY を使用します。
• QUARKUS-3185 create-app.adoc にロジックが単純化され、ストリームの定義を許可する
• QUARKUS-3187 OpenTelemetry のコンテキスト伝搬を許可する
• QUARKUS-3188 Fix RestAssured URL 処理と、QuarkusProdModeTest での予期しない再起動
• MacOS と Podman を使用する場合の QUARKUS-3191 ドロップドロップオプション：z' バインドオプション
• QUARKUS-3194 Netty のリフレクション設定ファイルを除外する
• QUARKUS-3195: Infinispan 14 から API 依存関係を統合(#ISPN-14268)