Red Hat Summit1.9. 既知の問題
このセクションでは、Red Hat ビルドの Quarkus 2.13 の既知の問題を記載しています。
1.9.1. バージョン 2.13.9.SP1 のセキュリティー修正が原因で、CDI インターセプターを使用してマルチテナント OIDC 設定を解決する
説明
CVE-2023-6267 に対応するために Red Hat ビルドの Quarkus 2.13.9.SP1 に実装されたセキュリティー修正により、重大な変更が導入されました。
この破壊的変更は、RestEasy Classic で複数の OIDC プロバイダーを使用する場合にのみ関係があり、コンテキストと依存性注入 (CDI) インターセプターを使用して OIDC テナント設定識別子をプログラム的に解決する場合に発生します。
この修正が行われる前は、CDI インターセプターは認証チェックの前に実行されていました。修正を導入すると、CDI インターセプターがトリガーされる前に認証が行われます。したがって、CDI インターセプターを使用して複数の OIDC プロバイダー設定識別子を解決することは、機能しなくなります。RestEasy Reactive アプリケーションへの影響はありません。
回避策
現在の OIDC 設定のテナント ID を解決するには、quarkus.oidc.TenantResolver メソッドを使用します。
詳細は、Quarkus の OpenID Connect (OIDC)マルチテナンシーの使用ガイドの アノテーションによるテナント識別子の解決 セクションを参照してください。
1.9.2. Red Hat ビルドの Quarkus 2.13.9 はドメインソケットをサポートしません。
Red Hat ビルドの Quarkus 2.13.x および 3.2 は、ネイティブトランスポートおよび関連する機能をサポートしません。したがって、ネイティブの epoll または io_uring トランスポートの使用と、ネイティブトランスポートを必要とするドメインソケットの使用もサポートされていません。
1.9.3. パスベースのルールを使用して HTTP エンドポイントを保護する場合の HTTP セキュリティーの回避の問題
Red Hat ビルドの Quarkus バージョン 2.13.8.SP2 より前のバージョンでは、セキュリティーの問題 CVE-2023-4853 が存在し、攻撃者がセキュリティーポリシーを完全に回避する可能性があり、承認されていないエンドポイントアクセスやサービス拒否につながる可能性がありました。
パスベースのルールを使用して Quarkus アプリケーションの HTTP エンドポイントをセキュアにした場合は、Quarkus アプリケーションが Red Hat ビルドの Quarkus 2.13.8.SP2 に更新する必要があります。または、Red Hat Product Security Center が提供する回避策オプションに従います。
このセキュリティー問題の詳細と、さまざまな軽減策オプションの詳細は、Red Hat Security Bulletin RHSB-2023-002 の Mitigation セクションを参照してください。
1.9.4. CORS フィルターによるユーザーエクスペリエンス
説明
Red Hat ビルドの Quarkus 2.13.8.SP1 では、Vert.x クロスオリジンリソース共有(CORS)フィルターの Vert.x HTTP CORS フィルターは厳格で、このようなオリジンを受け入れるようにフィルターが明示的に設定されていない場合に same-origin リクエストを拒否します。
回避策
同じオリジン要求を受け入れるようにフィルターを設定します。たとえば、HTML ページを含む https://my.org で Quarkus アプリケーションをホストし、そのページに更新を https://my.org に戻す JavaScript が含まれている場合は、同じオリジン要求を許可するために application.properties ファイルに以下の設定を適用する必要があります。
quarkus.http.cors=true
quarkus.http.cors.origins=https://my.org
CVE-2022-4147 quarkus-vertx-http を修正した結果により、同じホストオリジンを許可するように Vert.x HTTP CORS フィルターを設定する必要があります。Quarkus の CORS セキュリティー誤設定:OWASP A05_2021 レベル。
Red Hat は、Red Hat ビルドの Quarkus の今後のリリースで、この要件を緩和するかどうかを評価します。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}