发行注记

CVE-2024-30255: mta-hub-container envoy: HTTP/2 CPU 因 CONTINUATION 帧而耗尽

Envoy 代理如何实现 HTTP/2 协议堆栈中发现了一个安全漏洞，这会影响 MTA 的早期版本。对可在单个流中发送的 CONTINUATION 帧数量有不足的限制。如果未经身份验证的远程攻击者向存在安全漏洞的服务器发送信息，这可能会造成使用资源的问题，并导致拒绝服务(DoS)。建议用户升级到 MTA 6.2.3，从而解决这个问题。

CVE-2024-29180: webpack-dev-middleware 缺少 URL 验证可能会导致文件泄漏

webpack-dev-middleware 软件包中发现了一个安全漏洞，它会影响 MTA 的早期版本，在返回本地文件前无法验证所提供的 URL 地址。此漏洞允许攻击者制作 URL 来从开发人员的计算机返回任意本地文件。在调用中间件前缺少规范化还允许攻击者对目标环境执行路径遍历攻击。建议用户升级到 MTA 6.2.3，从而解决这个问题。

CVE-2024-28849: follow-redirects 软件包清除授权标头

在 follow-redirects 软件包中发现了一个安全漏洞，它清除授权标头，但它无法清除 proxy-authentication 标头。这个缺陷会影响之前的 MTA 版本。可能会导致凭证泄漏，这可能会对数据保密性产生重大影响。建议用户升级到 MTA 6.2.3，从而解决这个问题。

CVE-2024-27316: HTTP-2: httpd: CONTINUATION 帧

Apache httpd 如何实现 HTTP/2 协议中发现了一个安全漏洞，该协议会影响 MTA 的早期版本。此缺陷意味着，在单个流中可以发送的 CONTINUATION 帧数量不足。此问题可能会允许未经身份验证的远程攻击者将数据包发送到存在安全漏洞的服务器，这可能会使用内存资源，并导致拒绝服务(DoS)攻击。建议用户升级到 MTA 6.2.3，从而解决这个问题。

CVE-2023-45288: Golang net/http, x/net/http2: 无限数量的 CONTINUATION 帧可能会导致拒绝服务(DoS)攻击

在 Go 编程语言的 HTTP/2 协议实现中发现了一个安全漏洞，这会影响之前的 MTA 版本。对在单个流中发送的 CONTINUATION 帧数量没有限制。攻击者可能会利用这个安全漏洞造成拒绝服务(DoS)攻击。建议用户升级到 MTA 6.2.3，从而解决这个问题。

CVE-2023-45857: Axios 1.5 会公开存储在 Cookie 中的机密数据

在 Axios 1.5.1 中发现了一个安全漏洞，它意外发现了存储在 Cookie 中的机密 XSRF-TOKEN，方法是包括每个对任何主机发出的 HTTP 标头 X-XSRF-TOKEN，从而允许攻击者查看敏感信息。建议用户升级到 MTA 6.2.3，从而解决这个问题。

CVE-2024-25710: Apache Commons Compress: Denial of service cause by a infinite loop for a corrupted DUMP file

Apache Commons Compress 版本 1.3 到 1.25.0 中发现了一个安全漏洞。此漏洞允许无限循环，通过拒绝服务(DoS)并影响可用性来造成潜在的危险。建议用户升级到 MTA 6.2.3，从而解决这个问题。

CVE-2024-26308: Allocation of resources of resources without limits orthrottles in Apache Commons Compress

Apache Commons Compress versions 中发现了一个安全漏洞。漏洞（称为 资源分配）或无限制限制(Throttling )允许在不限制或节流的情况下利用资源。 建议用户升级到 MTA 6.2.3，从而解决这个问题。

当 TCP 服务器配置了 TLS 和 SNI 时，CVE-2024-1300: 'io.vertx:vertx-core' 泄漏

Eclipse'Vert.x' 工具包中发现了一个安全漏洞。这个漏洞可能会导致在支持 TLS 和 SNI 的 TCP 服务器上出现内存泄漏，并允许攻击者发送带有假服务器名称的 TLS 客户端 hello 消息，触发 JVM 内存不足 (OOM)错误。建议用户升级到 MTA 6.2.3，从而解决这个问题。

CVE-2024-1132: org.keycloak-keycloak-parent: keycloak 路径转换（在重定向验证中）

Keycloak 中发现了一个安全漏洞，它没有正确验证重定向中包含的 URL。此漏洞可让攻击者构建恶意请求以绕过验证，并访问域中的其他 URL 和敏感信息或进行进一步攻击。建议用户升级到 MTA 6.2.3，从而解决这个问题。

CVE-2024-1023: Eclipse Vert.x Toolkit 中的内存泄漏漏洞使用 Netty FastThreadLocal 数据结构

Eclipse'Vert.x' 工具包中发现了一个安全漏洞。这个漏洞可能会导致内存泄漏，因为使用 Netty FastThreadLocal 数据结构。具体来说，当 Vert.x HTTP 客户端建立到不同主机的连接时，这可能会触发内存泄漏。 建议用户升级到 MTA 6.2.3，从而解决这个问题。

CVE-2023-26159：由于 url.parse （）错误地处理 URL，因此 跟踪 不正确的输入验证。

在 follow-redirects 软件包中发现了一个安全漏洞。此漏洞是由 url.parse （） 函数处理 URL 不正确的造成的。当新的 URL （）返回错误时，可以操作它来错误解译主机名。攻击者可以利用这种弱点将流量重定向到恶意站点，从而导致信息泄露、恶意攻击或其他安全漏洞。 建议用户升级到 MTA 6.2.3，从而解决这个问题。

CVE-2023-26364: css-tools 不正确的输入验证会导致拒绝服务

在 @adobe/css-tools 中发现了一个安全漏洞，这可能会在解析 CSS 时导致拒绝服务(DoS)。不需要用户交互和特权来危及环境。建议用户升级到 MTA 6.2.3，从而解决这个问题。

CVE-2023-48631: css-tools: 正则表达式拒绝服务

在 @adobe/css-tools 中发现了一个安全漏洞，在尝试解析 CSS 时可能会导致正则表达式拒绝服务(ReDoS)。建议用户升级到 MTA 6.2.3，从而解决这个问题。

CVE-2022-45693: 安全漏洞(Jettison) 

v1.5.2 之前 Jettison 的版本容易受到基于堆栈的缓冲区溢出造成的拒绝服务(DoS)的影响。 通过使用 map 参数发送特殊精心设计的请求，远程攻击者可能会利用此漏洞来造成 DoS 攻击。这个问题已在 MTA 版本 6.2.2 中解决。

CVE-2023-29406: HTTP/1 客户端不会完全验证 Host 标头的内容

在 1.19.11 之前的 Golang 版本会受到 HTTP 标头注入的影响，导致 HTTP/1 客户端对 Host 标头的内容验证不正确。 一个恶意设计的主机标头可以注入额外的标头或整个请求。在 1.19.11 Golang 版本中，HTTP/1 客户端现在拒绝发送包含无效 Request.Host 或 Request.URL.Host 值的请求。 这个问题已在 MTA 版本 6.2.2 中解决。

CVE-2023-29409: 在证书链中扩展大型 RSA 密钥可能会导致客户端/服务器加快验证签名的 CPU 时间

证书链中非常大的 RSA 密钥可能会导致客户端/服务器加快验证签名的 CPU 时间。 Golang Go 软件包中发现了一个拒绝服务(DoS)漏洞，是由一个不受控制的资源消耗漏洞造成的。通过禁止使用具有大型 RSA 密钥的特殊精心设计的证书，远程攻击者可以利用客户端/服务器加快验证签名的大量 CPU 时间，从而导致拒绝服务状况。 这个问题已在 MTA 版本 6.2.2 中解决。

CVE-2022-1962：在 go/parser中的 Parse 函数中不受控制的递归

在 Golang 版本中，在 1.17.12 和 1.18.4 之前，在标准库 go/parser go/parser 中发现了一个缺陷，不控制的递归可能会导致攻击者通过深度嵌套类型或声明耗尽堆栈导致 panic。这个问题已在 MTA 版本 6.2.2 中解决。

CVE-2023-26159：通过 url.parse （） 函数处理 URL

在 1.15.4 之前的 follow-redirects 软件包版本中，有 Improper Input Validation 的漏洞。此漏洞是由 url.parse （） 函数处理 URL 不正确的造成的。当新的 URL （） 抛出错误时，可以对其进行操作来错误解译主机名。攻击者可能会利用这种弱点来将流量重定向到恶意网站，并可能导致信息泄露、辨别攻击或其他安全漏洞。 这个问题已在 MTA 版本 6.2.2 中解决。

CVE-2022-46751: Improper Restriction of XML External Entity Reference, XML Injection vulnerability in Apache Ivy

在 2.5.2 之前的 Apache Ivy 版本中，解析 XML 文件，无论是配置、Ivy 文件或 Apache Maven POM，它允许下载外部文档类型定义并扩展包含的任何实体引用。此过程可用于扩展数据，仅运行 Ivy 的机器可以访问运行 Ivy 的机器，或者以不同方式干扰执行 Ivy。 这个问题已在 MTA 版本 6.2.2 中解决。

CVE-2023-2976: Java 的默认临时目录，用于在 FileBackedOutputStream中创建文件

Google Guava 版本 1.0 到 31.1 版本允许本地验证的攻击者获取敏感信息。这是因为在 FileBackedOutputStream 中使用 Java 的默认临时目录来创建文件所造成的。使用 Java 的默认临时目录在 Unix 系统上的 FileBackedOutputStream 中创建文件，可以允许机器上对默认 Java 临时目录具有访问权限的其他用户和应用程序访问该类创建的文件。 这个问题已在 MTA 版本 6.2.2 中解决。

CVE-2023-35116： 2.15.2 之前的 jackson-databind 版本可能会允许攻击者拒绝服务或其他未指定影响（计算）

2.15.2 之前的 jackson-databind 版本可能会导致攻击者拒绝服务或其他未指定影响。供应商认为这不是有效漏洞，因为构建了一个环形数据结构的步骤，并尝试从外部攻击者实现序列化。这个问题已在 MTA 版本 6.2.2 中解决。

CVE-2023-1436：在构造 JSONArray 时，Jettison 中会触发一个无限递归

当从集合构建 JSONArray 时，在其中一个元素中包含自助引用时，Jettison 中会触发无限递归。这会导致返回 StackOverflowError 异常。  这个问题已在 MTA 版本 6.2.2 中解决。

CVE-2024-25710：由无限循环导致的服务拒绝

带有 Unreachable Exit Condition、Infinite Loop、Apache Commons Compress 中的漏洞的 loop.此漏洞会影响 Apache Commons Compress, 版本 1.3 到 1.25.0，并可能导致拒绝服务(DoS)。

CVE-2023-6291: Keycloak redirect_uri 验证绕过

Keycloak 中的 redirect_uri 验证逻辑中发现了一个问题，允许绕过其他明确允许的主机。此问题可能允许绕过其他明确允许的主机。成功攻击可能会导致访问令牌被盗，从而使攻击者能够模拟其他用户。

当 TCP 服务器配置了 TLS 和 SNI 支持时，CVE-2024-1300: Eclipse Vert.x 内存泄漏

Eclipse Vert.x 工具包中的漏洞会导致使用传输层安全(TLS)和 Server Name Indication (SNI)配置的 TCP 服务器中的内存泄漏。当处理一个未知的 SNI 服务器名称而不是映射的证书时，安全套接字层(SSL)上下文会错误地缓存在服务器名称映射中，从而导致内存耗尽。此问题可能允许攻击者发送带有假服务器名称的 TLS 客户端 hello 消息，从而触发 Java 虚拟机(JVM) Out-of-Memory (OOM)错误。

CVE-2023-45286

go-resty 中的竞争条件可能会导致 HTTP 请求正文跨请求披露。当启用请求重试并重试发生时，可通过调用 sync.Pool . Put 并多次调用 sync.Pool.Put 来触发此条件。然后，调用 sync.Pool.Get 将返回没有 bytes.Buffer.Reset 的 bytes.Buffer.Reset。此脏缓冲区将包含来自不相关请求的 HTTP 请求正文，go-resty 会将当前的 HTTP 请求正文附加到其中，在一个请求中发送两个正文。问题中的 sync.Pool 在软件包级别范围内定义，因此完全不相关的服务器可能会接收请求正文。

CVE-2023-48631：Adobe 的 css-tools 版本 4.3.1 及更早的版本会受到 Improper 输入验证漏洞的影响

在解析 CSS 时，Adobe 的 css-tools 中发现了一个 Regular Expression Denial of Service (ReDoS)漏洞。出现这个问题的原因是输入不正确，并可能允许攻击者使用精心设计的输入字符串，以便在尝试解析 CSS 时导致拒绝服务。

CVE-2023-36479: 在 CgiServlet 中的用户输入中添加引号

Eclipse Jetty Canonical Repository 是 Jetty 项目的规范存储库。带有特定命令结构的 CgiServlet 用户可能执行错误的命令。如果用户为名称中包含空格的二进制向 org.eclipse.jetty.servlets.CGI Servlet 发送请求，则 servlet 将通过将命令嵌套在引号中来转义命令。然后，此嵌套的命令加上可选的命令前缀将通过调用 Runtime.exec 执行。如果用户提供的原始二进制名称包含引号，后跟一个空格，则生成的命令行将包含多个令牌，而不是一个令牌。这个问题已在版本 9.4.52、10.0.16、11.0.16 和 12.0.0-beta2 中修补。

CVE-2023-44487 HTTP/2: 启用多个 HTTP/2 的 Web 服务器会受到 DDoS 攻击(Rapid Reset Attack)的影响

在处理 HTTP/2 协议中的多个流中发现了一个安全漏洞。在之前的 MTA 版本中，HTTP/2 协议允许拒绝服务（服务器资源消耗），因为请求可以快速重置多个流。服务器必须设置和停止流，同时没有为每个连接的最大活跃流数达到任何服务器端限制，这会导致因为服务器资源消耗而拒绝服务。

CVE-2023-39325: 启用多个 HTTP/2 的 Web 服务器会受到 DDoS 攻击（使用 Go 语言软件包中的Rapid Reset Attack）

HTTP/2 协议易受拒绝服务攻击的影响，因为请求可以快速重置多个流。服务器需要在没有达到每个连接的最大活跃流数量在服务器端的限制的情况下，设置和处理流。这会导致因为服务器的资源被耗尽而出现拒绝服务的问题。

与 JIRA 集成

通过将 Migration Toolkit for Applications 与 JIRA 的集成，您可以跟踪和管理整个迁移过程。要引入产品组合中应用程序的更改，您可以在 JIRA 中创建问题，并将其分配给开发人员。

Migration Waves 管理

迁移 wave 是一小组提供业务价值的工作负载。MTA 的 Migration Wave 分组了按指定计划迁移的应用程序。

OpenShift 监控集成

MTA 与 OpenShift Monitoring 集成，允许用户使用来自其 MTA 安装的指标。

CVE-2023-44487: 启用多个 HTTP/2 的 Web 服务器会受到 DDoS 攻击(Rapid Reset Attack)的影响

在处理 HTTP/2 协议中的多个流中发现了一个安全漏洞。HTTP/2 协议允许拒绝服务（服务器资源消耗），因为请求可以快速重置多个流。服务器必须设置和停止流，同时没有为每个连接的最大活跃流数达到任何服务器端限制，这会导致因为服务器资源消耗而拒绝服务。

CVE-2023-39325: 启用多个 HTTP/2 的 Web 服务器会受到 DDoS 攻击（使用 Go 语言软件包中的Rapid Reset Attack）

HTTP/2 协议易受拒绝服务攻击的影响，因为请求可以快速重置多个流。服务器需要在没有达到每个连接的最大活跃流数量在服务器端的限制的情况下，设置和处理流。这会导致因为服务器的资源被耗尽而出现拒绝服务的问题。

重新启用 Keycloak 中断 MTA

Keycloak 默认启用。如果您禁用并重新启用 Keycloak，则无法在再次登录后在 MTA web 控制台中执行任何操作。

在从存储库获取规则时，分析会失败，其中包含名称中包含空格的文件夹

在分析期间从存储库获取自定义规则时，如果 Root path 字段包含空格，mta-cli 命令不会被正确生成，分析会失败。MTA-458

对应用程序、作业功能和业务服务禁用更新通知

对应用程序、 作业 功能和 业务服务 禁用更新通知，因此不会显示通知。MTA-1024

不需要存储库类型字段

在分析中保存配置规则文件时，不需要 Repository type 字段。MTA-1047

新 JIRA 实例的 false 'not connected' 状态

在创建新的 JIRA 实例时，连接状态最初显示为 Not connected，然后再进入 Connected，这会导致用户认为提供的凭证不正确。MTA-1019

分析向导

MTA 6.2.0 发行版本解决了 Analysis 向导在自定义规则页面中卡住的问题，从 Repository 选项卡中移动 Back。有关此问题的更多信息，请参阅 MTA-464。

标签和报告标签页

MTA 6.2.0 发行版本解决了为应用程序运行分析的问题，并在点该应用程序查看标签和报告后，两个标签页都会保持加载，直到分析完成为止。有关此问题的更多信息，请参阅 MTA-465。