红帽全球峰会第 5 章 修复的问题
下表显示了在 RHEL 上的 AMQ Streams 1.8 中修复的问题。有关在 Kafka 2.8.0 中修复的问题的详情,请参考 Kafka 2.8.0 发行注记。
| 问题号 | 描述 |
|---|---|
|
| |
| 运行 Kafka Exporter 会导致 CPU 使用率高。 | |
| 微调健康检查,以在滚动更新期间停止 Kafka Exporter 重启。 | |
| 如果有大型文件,文件源连接器将停止。 |
| 问题号 | 标题 | 描述 |
|---|---|---|
| CVE-2021-34428 jetty-server: jetty: SessionListener 可以防止会话被破坏注销无效。 | jetty-server 中发现了一个缺陷,如果从 SessionListener#sessionDestroyed()方法抛出异常,则会话 ID 不会在会话 ID 管理器中无效。在具有集群会话和多个上下文的部署中,可能会导致会话无效,并且共享计算机应用被保留登录。来自此漏洞的最大威胁是数据保密性和完整性。 | |
| CVE-2021-28169 jetty-server: jetty: 对 ConcatServlet 和 WelcomeFilter 的请求可以访问 WEB-INF 目录中受保护的资源。 | - | |
| CVE-2021-21409 netty:通过内容长度标头请求调用. | Netty 中发现了一个漏洞。如果请求使用单个 Http2HeaderFrame 并将 endstream 设置为 true,则存在一个问题,即 content-length 标头不会被正确验证。如果请求代理到远程同级并转换为 HTTP/1.1,则会导致请求生效。这种漏洞的最大威胁是完整性。 | |
| CVE-2021-27568 json-smart:未发生异常可能会导致崩溃或信息泄露。 | json-smart 中发现了一个漏洞。当异常从函数抛出但未被捕获时,使用库的程序可能会崩溃或公开敏感信息。来自此漏洞的最大威胁是数据机密和系统可用性。 在 OpenShift Container Platform(OCP)中,组成 OCP Metering 堆栈的 Hive/Presto/Hadoop 组件会提供存在安全漏洞的 json-smart 软件包版本。自 OCP 4.6 发布以来,Metering 产品已弃用 [1],因此受影响的组件被标记为 wintfix。以后可能会解决这个问题。 | |
| CVE-2021-21295 netty:在 HTTP/2 中因为缺少验证而可能的请求。 |
在 4.1.60.Final 以前的 Netty(io.netty:netty-codec-http2)中,存在一个启用请求的漏洞。如果原始 HTTP/2 请求中存在 Content-Length 标头,则该字段不会因为已传播而被 | |
| CVE-2021-21290 netty:通过本地系统临时目录披露信息。 | 在 Netty 中,类似 Unix 的系统中存在一个涉及不安全临时文件的漏洞。当使用 netty 的多部分解码器时,如果启用了在磁盘上临时存储上传,则可以通过本地系统临时目录进行本地信息披露。在与 unix 类似的系统上,临时目录在所有用户之间共享。因此,使用未明确设置文件/目录权限的 API 写入该目录可能会导致信息泄露。 | |
| CVE-2020-13949 libthrift:处理不受信任的载荷时潜在的 DoS。 | libthrift 中发现了一个漏洞。使用 Thrift 的应用不会在接收消息时显示错误,声明大小大于载荷的容器。这导致恶意的 RPC 客户端能够发送短消息,进而导致大量内存分配,从而可能拒绝服务。此漏洞的最大威胁在于系统可用性。 | |
| CVE-2020-9488 log4j:对 SMTP 附加程序中主机不匹配的证书验证不正确。 | - | |
| CVE-2021-28163 jetty-server: jetty: Symlink 目录公开 webapp 目录内容。 |
如果 | |
| CVE-2021-28164 jetty-server:jetty:嵌入式路径可以访问 WEB-INF。 |
在 Jetty 中,默认合规模式允许带有包含 | |
| CVE-2021-28165 jetty-server: jetty: 在接收无效大型 TLS 帧时资源耗尽。 | 当在 Jetty 中使用 SSL/TLS 时( HTTP/1.1、HTTP/2 或 WebSocket),服务器可能会收到一个无效的大(大于 17408) TLS 帧,该帧被错误处理,从而导致 CPU 资源利用率高。此漏洞的最大威胁在于服务可用性。 | |
| CVE-2021-29425 commons-io:apache-commons-io:Apache Commons IO 2.2 到 2.6 中的有限路径遍历. | - | |
| CVE-2021-28168 jersey-common:jersey:本地信息通过系统临时目录披露。 | - |
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}