Red Hat Summit5.2. Fixed issues for AMQ Streams 2.0.0
Log4j2 の脆弱性
AMQ Streams には log4j2 2.17.1 が含まれています。本リリースでは、log4j2 の脆弱性が多数修正されています。
本リリースで対応する脆弱性の詳細は、以下の CVE の説明を参照してください。
| 課題番号 | 説明 |
|---|---|
| 明示的に指定された監視 namespace に対してメトリクスが適切に機能しません。 | |
|
セレクターラベルが変更されたために Operator に Kafka リソースが表示されなくなった場合、 | |
| 内部リスナーの場合でも、アドバタイズされたホスト名を証明書 SAN に追加します。 | |
| ログレベルの変更が Kafka Exporter で動作しません。 | |
| CRD の正規表現検証の修正 | |
| Kafka Exporter のすべての証明書を読み込みます。 | |
|
| |
| TLS ユーザーとクォータの調整を修正します。 | |
| force-renew の実行後に内部コンポーネントの証明書が更新されない |
| 課題番号 | 説明 |
|---|---|
| CVE-2021-34429: jetty-server: jetty: で特別に作成された URI により、セキュリティーの制約を回避できます。 | |
| CVE-2021-38153 Kafka: Apache Kafka Connect およびクライアントに対するタイミング攻撃の脆弱性 | |
| CVE-2021-38153 kafka-clients: Kafka: Apache Kafka Connect およびクライアントの攻撃脆弱性の調整 | |
| CVE-2021-37136 netty-codec: Bzip2Decoder が圧縮したデータのサイズ制限を設定できない | |
| CVE-2021-37137 netty-codec: SnappyFrameDecoder がチャンクの長さを制限せず、スキップ可能なチャンクを不要な方法でバッファリングする可能性があります | |
| CVE-2021-37136 netty-codec: Bzip2Decoder が圧縮したデータのサイズ制限を設定できない - Drain Cleaner | |
| CVE-2021-44228 log4j-core: 攻撃者が制御する文字列の値がログに含まれる場合の Log4j 2.x でのリモートコード実行 | |
| CVE-2021-45046 log4j-core: スレッドコンテキストメッセージパターンとコンテキストルックアップパターンを使用した log4j2.x の DoS | |
| CVE-2021-45105 log4j-core: Thread Context Map (MDC) 入力データを使用した log4j 2.x の DoS には、再帰ルックアップとコンテキストルックアップパターンが含まれています | |
| CVE-2021-44832 log4j-core: JDBC Appender を介したリモートコードの実行 |
