1.6. 취약점

BZ#1966615

nodejs-trim-newlines에서 취약점이 발견되었습니다. Node.js에는 .end() 메서드의 정규 표현식 DoS(ReDoS)와 관련된 문제가 있습니다.

BZ#1981895

apache-commons-compress에서 취약점이 발견되었습니다. 특수하게 조작된 7Z 아카이브를 읽을 때 항목의 압축을 해제하는 codecs 목록을 구성하면 무한 루프가 발생할 수 있습니다. 이 취약점으로 인해 Compress의 SevenZ 패키지를 사용하는 서비스에 대한 서비스 거부 공격을 마운트할 수 있습니다. 이 취약점의 가장 큰 위협은 시스템 가용성입니다.

BZ#1981900

apache-commons-compress에서 취약점이 발견되었습니다. 특수하게 조작된 7Z 아카이브를 읽을 때 Compress는 매우 작은 입력에 대해 메모리 부족 오류가 발생하는 대량의 메모리를 할당할 수 있습니다. 이 취약점으로 인해 Compress의 SevenZ 패키지를 사용하는 서비스에 대한 서비스 거부 공격을 마운트할 수 있습니다. 이 취약점의 가장 큰 위협은 시스템 가용성입니다.

BZ#1981903

apache-commons-compress에서 취약점이 발견되었습니다. 특수하게 조작된 TAR 아카이브를 읽을 때 Compress는 작은 입력에 대한 메모리 부족 오류가 발생할 수 있는 대량의 메모리를 할당할 수 있습니다. 이 취약점을 통해 Compress의 TAR 패키지를 사용하는 서비스에 대한 서비스 거부 공격을 마운트할 수 있습니다. 이 취약점의 가장 큰 위협은 시스템 가용성입니다.

BZ#1981909

apache-commons-compress에서 취약점이 발견되었습니다. 특수하게 조작된 ZIP 아카이브를 읽을 때 Compress는 작은 입력에 대해 메모리 부족 오류가 발생하는 대량의 메모리를 할당할 수 있습니다. 이 취약점을 통해 Compress의 zip 패키지를 사용하는 서비스에 대한 서비스 거부 공격을 마운트할 수 있습니다. 이 취약점의 가장 큰 위협은 시스템 가용성입니다.

BZ#2007557

정규식 서비스 거부(ReDoS) 취약점은 nodejs-ansi-regex에서 발견되었습니다. 이로 인해 애플리케이션에서 조작된 ANSI 이스케이프 코드와 일치할 때 ansi-regex를 사용하는 애플리케이션이 과도한 CPU 시간을 사용할 수 있습니다.

BZ#2069414

Spring Framework에서 취약점이 발견되었습니다. 이 취약점을 통해 공격자는 특별한 Spring Expression을 만들어 서비스 거부를 유발할 수 있습니다.

BZ#2097414

의미 체계 릴리스에서 취약점이 발견되었습니다. 일반적으로 마스킹된 보안은 encodeURI() 에서 제외된 characters가 포함된 경우 실수로 공개됩니다. 이 취약점은 리포지토리 URL을 수정하여 인증 정보를 삽입하지 않고 관련 리포지토리에 대한 내보내기 액세스를 사용할 수 없는 실행 컨텍스트로 더 제한됩니다.