红帽全球峰会1.5. 修复了红帽构建的 Apache Camel for Spring Boot 的问题
以下小节列出了在 Red Hat build of Apache Camel for Spring Boot 中解决的问题。
- 第 1.5.1 节 “Red Hat build of Apache Camel for Spring Boot 版本 4.4.4 修复的问题”
- 第 1.5.2 节 “Red Hat build of Apache Camel for Spring Boot 版本 4.4.3 修复的问题”
- 第 1.5.3 节 “Red Hat build of Apache Camel for Spring Boot 版本 4.4.2 修复的问题”
- 第 1.5.4 节 “Red Hat build of Apache Camel for Spring Boot 版本 4.4.1 修复的问题”
- 第 1.5.5 节 “Red Hat build of Apache Camel for Spring Boot 版本 4.4.0 增强”
- 第 1.5.6 节 “Red Hat build of Apache Camel for Spring Boot 版本 4.4.0 修复的问题”
以下小节列出了在 Red Hat build of Apache Camel for Spring Boot 版本 4.4.4 中解决的问题。
| 问题 | 描述 |
|---|---|
| CVE-2024-51132 ca.uhn.hapi.fhir/org.hl7.fhir.dstu2: arbitrary code execution via specially-crafted 请求 | |
| CVE-2024-51132 ca.uhn.hapi.fhir/org.hl7.fhir.dstu2016may: 通过特殊划分的请求执行任意代码 | |
| CVE-2024-51132 ca.uhn.hapi.fhir/org.hl7.fhir.dstu3: arbitrary code execution via specially-crafted 请求 | |
| CVE-2024-51132 ca.uhn.hapi.fhir/org.hl7.fhir.r4: 通过特殊精心设计的请求执行任意代码 | |
| CVE-2024-51132 ca.uhn.hapi.fhir/org.hl7.fhir.r5: 通过特殊精心设计的请求执行任意代码 | |
| CVE-2024-51132 ca.uhn.hapi.fhir/org.hl7.fhir.utilities: 通过特殊精心设计的请求执行任意代码 | |
|
CVE-2024-52007 ca.uhn.hapi.fhir/org.hl7.fhir.dstu2016may: | |
|
CVE-2024-52007 ca.uhn.hapi.fhir/org.hl7.fhir.dstu3: XXE 漏洞(在 | |
|
CVE-2024-52007 ca.uhn.hapi.fhir/org.hl7.fhir.r4: XXE 漏洞(在 | |
|
CVE-2024-52007 ca.uhn.hapi.fhir/org.hl7.fhir.r5: XXE 漏洞(在 | |
|
CVE-2024-52007 ca.uhn.hapi.fhir/org.hl7.fhir.utilities: XXE 漏洞(在 | |
| 升级到 Spring Boot 3.2.11 |
以下小节列出了在 Red Hat build of Apache Camel for Spring Boot 版本 4.4.3 中解决的问题。
| 问题 | 描述 |
|---|---|
| 在 CSB 平台 BOM 中定义 Agroal 版本 | |
| [CAMEL-20790]kafka 批处理消费者轮询使用 NPE 在负载下随机失败 | |
| CVE-2023-52428 com.nimbusds/nimbus-jose-jwt: large JWE p2c 标头值会导致 Service 的 Denial | |
|
CVE-2024-45294 ca.uhn.hapi.fhir/org.hl7.fhir.dstu2016may: XSLT in | |
|
CVE-2024-45294 ca.uhn.hapi.fhir/org.hl7.fhir.dstu3: XXE 漏洞在 | |
|
CVE-2024-45294 ca.uhn.hapi.fhir/org.hl7.fhir.r4: XXE 漏洞在 | |
|
CVE-2024-45294 ca.uhn.hapi.fhir/org.hl7.fhir.r5: XXE 漏洞在 | |
|
CVE-2024-45294 ca.uhn.hapi.fhir/org.hl7.fhir.utilities: XXE 漏洞在 | |
| CVE-2024-38816 org.springframework/spring-webmvc: Path Traversal Vulnerability in Spring Applications Using RouterFunctions and FileSystemResource | |
| 在将 Camel 从 4.0 升级到 4.4 后,Camel 路由覆盖无法正常工作 | |
| CVE-2024-7254 protobuf: StackOverflow 漏洞协议缓冲 | |
| camel-cics: protocol 选项已在 CICSConfiguration 类中硬编码 | |
| CVE-2024-38809 org.springframework/spring-web: Spring Framework DoS via条件 HTTP 请求 | |
| Excesing locking in camel jaxb under load | |
| CVE-2021-44549 org.eclipse.angus/angus-mail: 启用安全服务器身份检查 Safer SMTPS 通信 | |
| CVE-2024-47561 org.apache.avro/avro: 架构解析可能会触发远程代码执行(RCE) | |
| 使用 OpenTelemetry 的地址 CXF Async 调用 |
以下小节列出了在 Red Hat build of Apache Camel for Spring Boot 版本 4.4.2 中解决的问题。
| 问题 | 描述 |
|---|---|
| CVE-2024-41172 org.apache.cxf/cxf-rt-transports-http: CXF HTTP 客户端中的不受限制的内存消耗 | |
| 使用 RecipientList 的 OOM | |
| CVE-2024-7885 undertow: Improper State Management in Proxy Protocol parsing 会导致信息泄漏 | |
| CVE-2024-38808 org.springframework/spring-expression: From NVD 收集器 | |
| 将 CSB 4.4.x 升级到 Spring Boot 3.2.9 | |
| artemis-quorum-api 已在 artemis 2.33+ 中删除,而使用 artemis-lockmanager | |
| azure-servicebus: 当 credentialType 为 AZURE_IDENTITY 时,FQNS 没有正确设置 | |
| camel-xslt - 所有交换属性都应是可达 | |
| REST OpenApi 无法从 URL 解析主机 | |
| camel-Hashicorp-Vault: Get Secret 操作不考虑 secretPath 配置参数 |
以下小节列出了红帽构建的 Apache Camel for Spring Boot 版本 4.4.1 中已解决的问题。
| 问题 | 描述 |
|---|---|
| [CSB 示例] - 为 camel-jira 请求的 javax 依赖项 | |
| Camel AWS Kinesis: 支持检查点 | |
| CVE-2022-41678 activemq: Apache ActiveMQ:在 Jolokia 上进行反序列化漏洞,允许经过身份验证的用户执行 RCE | |
| camel-spring-boot-bom 仍然引用上游 Artemis 客户端库,如果混合使用它们,则会导致错误 | |
| CVE-2023-51079 mvel: TimeOut error when call ParseTools.subCompileExpression ()功能 | |
| CVE-2024-1023 vert.x: io.vertx/vertx-core: 内存泄漏,因为在 Vertx 中使用 Netty FastThreadLocal 数据结构 | |
| 当 TCP 服务器配置了 TLS 和 SNI 支持时,CVE-2024-1300 vertx-core: io.vertx:vertx-core: 泄漏 | |
| CVE-2024-22201 jetty: 停止接受来自有效客户端的新连接 | |
| CVE-2024-1597 pgjdbc: PostgreSQL JDBC Driver 允许攻击者注入 SQL (如果使用 PreferQueryMode=SIMPLE) | |
| CVE-2024-1597 pgjdbc: PostgreSQL JDBC Driver 允许攻击者注入 SQL (如果使用 PreferQueryMode=SIMPLE) | |
| CVE-2024-22257 spring-security: Broken Access Control with Direct Use of AuthenticatedVoter | |
| CVE-2024-29025 netty-codec-http: Allocation of Resources Without Limits or Throttling | |
| CVE-2024-23081 3tenbp: null pointer exception | |
| camel-saxon 使用的 saxon 库会错误地转换 xml 节点 | |
| 在我们在平台 bom 中覆盖的工件列表中包括 jackson-bom | |
| CVE-2024-30171 org.bouncycastle-bcprov-jdk18on: bc-java: BouncyCastle 易受 Bleichenbacher 的时间变体(Marvin Attack) | |
| 有关"为 HTTP 客户端设置 SSL"的 Camel 文档的错误 | |
| camel-jbang - 生成的 pom.xml 带有 "--camel-spring-boot-version" 选项,包含垃圾字符 | |
| XPath 转换在 CSB 4.4 中失败 | |
| [Camel-cics] 在 CICS 事务失败时重置消息正文 | |
| 失败的路由应该在 spring-boot actuator/camelroutes 中可见 | |
| camel-jbang export 命令生成的 pom.xml 文件不适用于红帽产品 | |
| 带有 "camel-spring-boot-version" 选项的 Camel export 命令无法正常工作 | |
| 方法 Message.getBody (Class)行为的意外更改 | |
| CVE-2024-5971 undertow: 在 Java 17 TLSv1.3 NewSessionTicket 时响应写入挂起 | |
| request-reply over JMS 示例应使用 replyToConcurrentConsumers 而不是 concurrentConsumers | |
| CVE-2024-30172 org.bouncycastle:bcprov-jdk18on: Infinite 循环在 ScalarUtil 类中的 ED25519 验证中 | |
| CVE-2024-29857 org.bouncycastle:bcprov-jdk18on: org.bouncycastle: 导入带有精心设计的 F2m 参数的 EC 证书可能会导致服务 Denial | |
| CVE-2024-6162 undertow: url 编码的请求路径信息可能会在 ajp-listener 上中断 | |
| Maven 存储库中的 Jackson Jakarta RS XML 供应商缺少 | |
| CAMEL-20921 - 在 Camel 应用程序 XML 文件中没有载入 Route 配置 | |
| 升级到 boucy castle 1.78 break camel-crypto | |
| 不支持的组件显示 4.4.0-SNAPSHOT 版本 |
以下小节列出了在 Red Hat build of Apache Camel for Spring Boot 版本 4.4.0 中解决的问题。
| 问题 | 描述 |
|---|---|
| 支持用于 Camel for Spring Boot 的 Hawtio 控制台 | |
| camel-olingo4 支持 | |
| 添加 Kafka Batch Consumer | |
| [RFE] 支持组件 camel-smb | |
| 增强 XML IO DSL 以支持 YAML DSL 中的 Bean | |
| Camel for Spring Boot 支持 IBM Z/P | |
| 为 camel-ssh 组件提供配置算法的支持 | |
| 添加对 camel-flink 的支持 | |
| 为 azure blob 存储添加 Azure SAS 支持 | |
| 创建并支持新的 Camel CICS 组件 | |
| 支持组件 camel-mvapich | |
| 离线 Maven 构建器脚本 | |
| 支持组件 camel-jasypt | |
| 支持组件 camel-kudu | |
| 支持 cxf-integration-tracing-opentelemetry | |
| 支持组件 camel-groovy | |
| BeanIO 支持 | |
| camel-cics - 支持通过频道的连接 |
| 问题 | 描述 |
|---|---|
| CVE-2023-35116 jackson-databind: 通过 cylic 依赖项拒绝服务 | |
| CVE-2023-2976 guava: 不安全的临时目录创建 | |
| AWS SQS 组件,OCP 探测会导致 POD 错误 | |
| [Micrometer Observability] Unable to see trace id and span id in MDC | |
| 请提供显示用于连接池的 Camel AMQP/JMS 的示例 | |
| CVE-2023-5632 mosquitto: Possible Denial for Service due due over CPE consumption | |
| [camel-mail] java.lang.ClassNotFoundException: org.eclipse.angus.mail.imap.IMAPStore | |
| 使用 CXF 和 JSON 路径时 org.ow2.asm:asm 的依赖项聚合错误 | |
| org.bouncycastle:bcprov-jdk18on:jar:1.72 的依赖项聚合错误 | |
| 添加对 findAndModify Operation 的支持 | |
| CVE-2023-51074 json-path: 基于堆栈的缓冲区溢出(在 Criteria.parse 方法中) | |
| 支持 cxf-integration-tracing-opentelemetry | |
| CVE-2024-21733 tomcat :在默认错误页面中调整不相关的请求正文 | |
| camel-bean - 允许在组件上配置 bean 内省缓存 | |
| 使用 cxf-rt-rs-service-description-openapi-v3:4.0.2.fuse-redhat-00046 和 camel-openapi-java-starter:4.0.0.redhat-00039 时,依赖项聚合错误 | |
| CVE-2023-45860 Hazelcast: 在 CSV 文件源连接器中检查权限 | |
| AMQP publisher 应用在启用了本地 JMS 事务的情况下丢失消息 | |
| CVE-2024-26308 commons-compress: OutOfMemoryError unpacking broken Pack200 file | |
| commons-compress:由损坏 DUMP 文件的死循环导致的服务 [rhint-camel-spring-boot-4] | |
| 使用 XML DSL IO 时会忽略 restConfiguration 部分 | |
| 在向 JSON 进行 marshalling/ummarshalling XML 时发出。 | |
| CVE-2023-5685 xnio: 当通知程序状态链出现问题时,StackOverflowException | |
| 与 servlet/platform-http 一起使用时,onException 处理程序不会在正文响应中设置内容 | |
| [Camel-sap] Unable to通过 CSB 配置属性连接到 SAP 服务器 | |
| camel-file - 使用带有孤立标记文件检查的 min/max 深度时,可以优化 ant 过滤器 | |
| 如果用户使用 OpenTelemetryTracingStrategy 和 opentelemetry.exclude-patterns 来排除 "direct*",则会出现 NPE | |
| OpenTelemetryTracingStrategy 使用 opentelemetry.exclude-patterns "process*" 或 "bean*" 将 trace 分成 2 个分支 | |
| 在 camel-cics 中提供连接池的请求 | |
| 在 Jose P2C 参数上放置最大默认可配置限制,且仅在 WadlGenerator 中明确返回风格表,而不是其他 URL | |
| 对于 JMS* 标头,键入 Conversion Error from byte[] to Long in Camel 4 from Kafka Topic | |
| camel-salesforce - 启动错误 | |
| CVE-2024-22262 springframework: URL Parsing with Host Validation | |
| CVE-2024-29736 org.apache.cxf/cxf-rt-rs-service-description: SSRF via WADL stylesheet 参数 | |
| CVE-2024-32007 org.apache.cxf/cxf-rt-rs-security-jose: apache: cxf: org.apache.cxf:cxf-rt-rs-security-jose: Denial of Service vulnerability in JOSE |
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}