1.2.8. OpenShift Logging 5.0.3
이 릴리스에는 RHSA-2021:1515 - 보안 권고가 포함되어 있습니다. Important OpenShift Logging 버그 수정 릴리스 (5.0.3).
1.2.8.1. 보안 수정
- aust-databind: slf4j-ext 클래스에서 임의의 코드 실행 (CVE-2018-14718)
- jackson-databind: blaze-ds-opt 및 blaze-ds-core 클래스에서 임의의 코드 실행 (CVE-2018-14719)
- jackson-databind: 일부 JDK 클래스에서 exfiltration/XXE (CVE-2018-14720)
- jackson-databind: axis2-jaxws 클래스에서 SSRF (server-side request forgery) (CVE-2018-14721)
- jackson-databind: axis2-transport-jms 클래스에서 잘못된 다형성 직렬화 (CVE-2018-19360)
- jackson-databind: openjpa 클래스에서 잘못된 다형성 직렬화 (CVE-2018-19361)
- jackson-databind: jboss-common-core 클래스에서 잘못된 다형성 직렬화 (CVE-2018-19362)
- jackson-databind: 기본 타이핑이 잘못되어 원격 코드가 실행 (CVE-2019-14379)
- jackson-databind: com.pastdev.httpcomponents.configuration.JndiConfiguration에서 직렬화 가젯 (CVE-2020-24750)
- jackson-databind: org.apache.commons.dbcp2.datasources.PerUserPoolDataSourc와 관련하여 직렬화 가젯과 입력 사이의 상호 작용을 잘못 처리 (CVE-2020-35490)
- jackson-databind: org.apache.commons.dbcp2.datasources.SharedPoolDataSource와 관련하여 직렬화 가젯과 입력 사이의 상호 작용을 잘못 처리 (CVE-2020-35491)
- jackson-databind: com.oracle.wls.shaded.org.apache.xalan.lib.sql.JNDIConnectionPool와 관련하여 직렬화 가젯과 입력 사이의 상호 작용을 잘못 처리 (CVE-2020-35728)
- jackson-databind: oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS와 관련하여 직렬화 가젯과 입력 사이의 상호 작용을 잘못 처리 (CVE-2020-36179)
- jackson-databind: org.apache.commons.dbcp2.cpdsadapter.DriverAdapterCPDS와 관련하여 직렬화 가젯과 입력 사이의 상호 작용을 잘못 처리 (CVE-2020-36180)
- jackson-databind: org.apache.tomcat.dbcp.dbcp.cpdsadapter.DriverAdapterCPDS와 관련하여 직렬화 가젯과 입력 사이의 상호 작용을 잘못 처리 (CVE-2020-36181)
- jackson-databind: org.apache.tomcat.dbcp.dbcp2.cpdsadapter.DriverAdapterCPDS와 관련하여 직렬화 가젯과 입력 사이의 상호 작용을 잘못 처리 (CVE-2020-36182)
- jackson-databind: org.docx4j.org.apache.xalan.lib.sql.JNDIConnectionPool와 관련하여 직렬화 가젯과 입력 사이의 상호 작용을 잘못 처리 (CVE-2020-36183)
- jackson-databind: org.apache.tomcat.dbcp.dbcp2.datasources.PerUserPoolDataSource와 관련하여 직렬화 가젯과 입력 사이의 상호 작용을 잘못 처리 (CVE-2020-36184)
- jackson-databind: org.apache.tomcat.dbcp.dbcp2.datasources.SharedPoolDataSource와 관련하여 직렬화 가젯과 입력 사이의 상호 작용을 잘못 처리 (CVE-2020-36185)
- jackson-databind: org.apache.tomcat.dbcp.dbcp.datasources.PerUserPoolDataSource와 관련하여 직렬화 가젯과 입력 사이의 상호 작용을 잘못 처리 (CVE-2020-36186)
- jackson-databind: org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSource와 관련하여 직렬화 가젯과 입력 사이의 상호 작용을 잘못 처리 (CVE-2020-36187)
- jackson-databind: com.newrelic.agent.deps.ch.qos.logback.core.db.JNDIConnectionSource와 관련하여 직렬화 가젯과 입력 사이의 상호 작용을 잘못 처리 (CVE-2020-36188)
- jackson-databind: com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManagerConnectionSource와 관련하여 직렬화 가젯과 입력 사이의 상호 작용을 잘못 처리 (CVE-2020-36189)
- jackson-databind: javax.swing과 관련하여 직렬화 가젯과 입력 사이의 상호 작용을 잘못 처리 (CVE-2021-20190)
- golang: ReverseProxy를 포함한 특정 net/http 서버의 데이터 경합이 DoS를 일으킬 수 있음 (CVE-2020-15586)
- Golang: ReadUvarint 및 ReadVarint는 유효하지 않은 입력에서 무제한 바이트 수를 읽을 수 있습니다 (CVE-2020-16845)
- OpenJDK: JAR 서명 비활성화 알고리즘의 불완전한 적용 (라이브러리, 8249906) (CVE-2021-2163)
다음 Jira 문제에는 위의 CVE가 포함되어 있습니다.
- LOG-1234 CVE-2020-15586 CVE-2020-16845 openshift-eventrouter: 각종 결함 [openshift-4]. (LOG-1234)
- LOG-1243 CVE-2018-14718 CVE-2018-14719 CVE-2018-14720 CVE-2018-19360 CVE-2018-19361 CVE-2019-14379 CVE-2020-35490 CVE-2020-35491 CVE-2020-35728… logging-elasticsearch6-container: 다양한 결함 [openshift-logging-5.0]. (LOG-1243)
