1.8. 程序错误修复

Red Hat build of Quarkus 2.13.9.SP2

• CVE-2024-1597 org.postgresql/postgresql:pgjdbc: PostgreSQL JDBC Driver 允许攻击者注入 SQL （如果使用 PreferQueryMode=SIMPLE）
• CVE-2024-25710 org.apache.commons/commons-compress: Denial 为损坏的 DUMP 文件造成一个死循环导致的服务
• CVE-2024-26308 org.apache.commons/commons-compress:OutOfMemoryError unpacking broken Pack200 file

Red Hat build of Quarkus 2.13.9.SP1

• CVE-2023-5675 io.quarkus.resteasy.reactive/resteasy-reactive:quarkus: Authorization flaw in Quarkus RestEasy Reactive 和 Classic when "quarkus.security.jaxrs.deny-unannotated-endpoints" 或 "quarkus.security.jaxrs.default-roles-allowed" 属性被使用
• CVE-2023-6267 io.quarkus/quarkus -resteasy: quarkus : JSON 有效负载在 REST 资源与注解一起使用时被处理

Red Hat build of Quarkus 2.13.9

• Quarkus 缓存运行时的 CVE-2023-6393 漏洞 ：@CacheResult 使用中的上下文切换问题
• CVE-2023-39410 Apache Avro Java SDK: Memory when deserialing untrusted data in Avro Java SDK
• CVE-2023-35887 Apache Mina SSHD：SFTP 服务器实现中的信息公开
• CVE-2023-43642 Snappy Java：通过对块长度实施上限检查来解决潜在的服务(DoS)漏洞
• CVE-2023-31582 Jose4j：增强迭代计数设置，增强安全措施并缓解相关的风险
• CVE-2023-34453 Snappy Java: Integer overflow in shuffle 会导致 DoS
• CVE-2023-34454 Snappy Java: Integer overflow in compress cause DoS
• CVE-2023-34455 Snappy Java: 未检查的块长度会导致 DoS
• CVE-2023-2976 Guava: Insecure 临时目录创建
• CVE-2023-34462 Netty: SniHandler 16MB 分配会导致 OOM

Red Hat build of Quarkus 2.13.8.SP3

• CVE-2023-44487 HTTP/2: 多 HTTP/2 启用的 Web 服务器会受到 DDoS 攻击(Rapid Reset Attack)的影响

Red Hat build of Quarkus 2.13.8.SP2

• CVE-2023-4853 Quarkus 安全策略 Bypass

Red Hat build of Quarkus 2.13.8

• CVE-2023-26053 gradle: 对 PGP 密钥使用长 ID 是不安全的，可能会受到冲突攻击

• CVE-2022-3782 keycloak: 通过双 URL 编码的路径遍历
• CVE-2023-0481 io.quarkus-quarkus-parent:quarkus: Insecure permissions on temp files
• CVE-2023-0482 RESTEasy ：创建不安全的临时文件
• CVE-2023-1584 quarkus-oidc: ID 和访问令牌泄漏（通过授权代码流）
• CVE-2023-28867 graphql-java: Crafted GraphQL 查询会导致堆栈消耗
• CVE-2022-45787 apache-james-mime4j: Temporary File Information Disclosure in MIME4J TempFileStorageProvider
• CVE-2022-3171 protobuf-java: Timeout in parser lead to DoS
• CVE-2022-4116 quarkus_dev_ui: Dev UI Config Editor 易受驱动 localhost 攻击，从而导致 RCE
• CVE-2022-31197 postgresql: SQL Injection in ResultSet.refreshRow （） with malicious 列名称

• CVE-2022-37734 graphql-java: DoS by malicious query
• CVE-2022-42003 jackson-databind: Deep wrapper array nesting wrt UNWRAP_SINGLE_VALUE_ARRAYS
• CVE-2022-42004 jackson-databind: 使用深度嵌套数组
• CVE-2022-42889 commons-text,apache-commons-text: Variable interpolation RCE
• CVE-2022-41946 jdbc-postgresql,postgresql-jdbc:PreparedStatement.setText (int, InputStream) 会在 InputStream 大于 2k 时创建一个临时文件
• CVE-2023-0044 quarkus-vertx-http: 启动跨站点攻击，这可能会导致信息 Disclosure
• CVE-2022-41881 codec-haproxy: HAProxyMessageDecoder Stack Exhaustion DoS
• CVE-2022-45047 sshd-common,mina-sshd: Java unsafe deserialization 安全漏洞

Red Hat build of Quarkus 2.13.8

• QUARKUS-2214 Ban org.javassist:javassist
• QUARKUS-2221 平台生成器应该自动添加某个参与者所需的限制，并由另一个人管理
• QUARKUS-2230 引入基于 OpenShift 的 CI 上游运行
• code.quarkus.io 和 code.quarkus.redhat.com 上的 Chrome 选项卡中 QUARKUS-2238 Crash
• QUARKUS-2246 integration Vertx HTTP extension with custom CredentialsProvider
• QUARKUS-2284 OpenShift Serverless 请求，我们在使用 OpenShift Serverless 功能时支持它
• QUARKUS-2328 Promote Qute Templating from TP to full support
• QUARKUS-2329 将 RESTEasy Reactive Qute 从 TP 提升到全面支持
• QUARKUS-2330 将 RESTEasy Qute 从 TP 提升到全面支持
• QUARKUS-2331 将 Kubernetes 配置扩展从 TP 提升到全面支持
• QUARKUS-2332 Drop TP 支持 Reactive DB2 客户端
• QUARKUS-2335 应用程序使用 Quarkus 原生构建消耗更多 CPU 资源
• QUARKUS-2349 完全支持 Java 17 并丢弃用于原生应用程序的 Java 11
• QUARKUS-2367 Move Funqy extension (s) OpenShift Serverless to supported 状态
• QUARKUS-2387 邮件程序扩展从 TP 提升至完全支持
• QUARKUS-2388 将 Spring Data REST 从 TP 提升到全面支持
• QUARKUS-2389 将 OpenID Connect Client Filter Reactive 从 TP 提升为完全支持
• QUARKUS-2390 Promote quarkus-hibernate-orm-rest-data-panache 扩展从 TP 到完全支持
• QUARKUS-2392 Drop 技术预览支持 RESTEasy Mutiny
• QUARKUS-2393 Drop Tech Preview for Mutiny 支持 REST 客户端扩展
• OpenTelemetry Jaeger exporter 的 QUARKUS-2394 Drop TP
• QUARKUS-2395 Drop TP from Security JPA extension
• QUARKUS-2396 Drop TP for Eclipse Vert.x GraphQL
• QUARKUS-2453 Deprecate quarkus-reactive-routes 扩展
• QUARKUS-2473 存储库在 quarkus-platform-config-2.13.0.CR1-redhat-00001.pom 中声明
• QUARKUS-2478 将 Microsoft SQL JDBC 驱动程序更新为 11.2.0.jre11
• QUARKUS-2479 SmallRye Config SecretKeys 支持
• QUARKUS-2480 Introduce @SearchExtension 以通过注解的 Bean 配置 Hibernate Search
• QUARKUS-2481 允许为 JAXB 上下文提供自定义配置
• QUARKUS-2482 Deprecate quarkus-bootstrap-maven-plugin 替代 quarkus-extension-maven-plugin
• QUARKUS-2483 Kubernetes 服务绑定支持 Reactive SQL 客户端
• QUARKUS-2484 SmallRye Reactive Messaging 3.16
• QUARKUS-2485 SmallRye GraphQL 非阻塞支持
• QUARKUS-2486 Keycloak 更新到 18
• QUARKUS-2487 压缩支持被动路由和 RESTEasy 被动
• QUARKUS-2489 OIDC Back channel logout
• QUARKUS-2490 为特定路径添加 HTTP 标头
• QUARKUS-2491 OIDC - 支持代码交换密钥(PKCE)
• QUARKUS-2492 QuarkusTransaction API
• Quarkus 依赖的 QUARKUS-2538 List 产品作为产品化过程的一部分
• QUARKUS-2558 Day -9: [Eng] 检查是否需要更新 EARF 和 ProdSec
• OIDC BackChannelLogoutHandler 中的 QUARKUS-2592 NPE
• QUARKUS-2672 Infinispan 客户端与新发布的 Red Hat Data Grid 8.4 不一致
• QUARKUS-2693 Keycloak 容器无法在 devmode 中启动
• QUARKUS-2706 Quarkus CLI 无法解析 io.quarkus:quarkus-bom 的扩展目录
• QUARKUS-2758 Upgrade flapdoodle to 3.5.2 并将其添加到 Dependabot
• QUARKUS-2759 确保将适当的通用类型用于 RestResponse
• HTTP 参考指南中的 QUARKUS-2760 添加 HTTPS 端口配置
• QUARKUS-2761 Rename 方法名称在虚拟线程 doc 中
• 在同步网站文档分支时，QUARKUS-2762 创建目录
• 安全指南中列表的 QUARKUS-2763 Fix broken markup
• QUARKUS-2764 Upgrade narayana to 5.13.1.Final
• QUARKUS-2765 为 Misc 4 原生作业设置更高的超时
• QUARKUS-2766 Quartz - 添加向后兼容性备注
• 在测试类前 QUARKUS-2767 Compile 应用程序类
• QUARKUS-2768 修正了 stork-reference.adoc 中的代码
• QUARKUS-2769 修复虚拟线程文档中的编译错误
• QUARKUS-2770 更新最新的 brew openjdk 软件包
• QUARKUS-2771 Bump com.gradle.plugin-publish 从 1.0.0 到 /devtools/gradle 中的 1.1.0
• Stork 指南中的 QUARKUS-2772 Fixed 错误
• QUARKUS-2773 Fix IsDockerWorking 类不使用 TestContainersStrategy
• 对于容器构建，默认情况下 QUARKUS-2774 Use Mandrel
• QUARKUS-2775 文档：有关 CA 证书嵌入的修复声明
• QUARKUS-2776 Correct 拼写错误和代码风格在虚拟线程指南上
• 当目标已存在而不是立即删除时，QUARKUS-2777 会生成临时 uber-jar
• QUARKUS-2778 Demote the "test dir mapping" 日志消息要调试
• QUARKUS-2779 修复文档中的表条目
• QUARKUS-2780 在 Kubernetes 客户端扩展中注册所有扩展性实施
• QUARKUS-2781 替换 JReleaser 描述符中已弃用的属性
• QUARKUS-2782 修复虚拟线程文档中的编译错误
• QUARKUS-2783 Ensure that aroundInvoke 拦截器获取正确的方法参数
• QUARKUS-2784 文档 Mandrel 22.3 不再提供 -java11 镜像
• QUARKUS-2785 当传播重复的上下文时，丢弃请求范围
• QUARKUS-2786 Propagate the javax.annotation.security annotations in REST Data
• QUARKUS-2787 Rest Data Panache: Correct Open API 集成
• QUARKUS-2788 支持设置 Panache REST Data 扩展中的 RolesAllowed
• QUARKUS-2789 Properly 允许混合 @QuarkusTest 和 @QuarkusMainTest
• QUARKUS-2790 Switch 原生 GC 策略，从空间/时间到自适应（默认）
• 在 Quarkus 中使用受管 Vert.x 时，QUARKUS-2829 内部支持 Micrometer 指标
• QUARKUS-2835 Disable DuplicatedContext:18testThatBlockingEventConsumersAreCalledOnDuplicatedContext
• QUARKUS-2836 Reduce Config startup footprint
• QUARKUS-2837 Backport Vert.x Metrics 支持
• QUARKUS-2838 OpenTelemetry - Fix missing char
• 所有方法的 Spring Data Rest 中的 QUARKUS-2839 Propagate 安全注解
• QUARKUS-2840 确保 TestMojo 解析测试范围的依赖项
• QUARKUS-2841 MultiPartConfig in HTTP Vert.x 扩展不足
• QUARKUS-2842 CompletableFuture smart 分配支持
• QUARKUS-2843 将 quarkus-cache 扩展状态更改为 stable
• QUARKUS-2844 Switch 从系统属性切换到 Panache 查询硬编码行分隔符
• QUARKUS-2845 修复构建原生镜像文档中的一些拼写错误
• QUARKUS-2846 Ensure that new line chars not break Panache projection
• QUARKUS-2847 在载入工作区时始终将原始模型存储在缓存中
• 在 code.quarkus 和 maven 软件仓库中的 QUARKUS-2925 不同的版本
• QUARKUS-2978 ExceptionMapper<WebApplicationException> 在 DEV 模式下无法正常工作
• 如果预期只有 bearer 令牌，则 QUARKUS-3158 Do 不创建会话和 PKCE 加密密钥
• QUARKUS-3159 2.13：如果启用了 CORS，则默认不支持任何 Origin
• QUARKUS-3161 Fix security-csrf-prevention.adoc
• QUARKUS-3163 更新 codestarts 以使用 openjdk 容器镜像 1.15
• QUARKUS-3164 Logging with Panache: Fix LocalVariablesSorter usage
• QUARKUS-3167 Make SDKMAN 次要发行本用于维护和预览版本
• QUARKUS-3168 Backport Ensure that ConfigBuilder 类在原生模式中工作到 2.13
• QUARKUS-3169 Narayana LRA coordinator Docker 镜像的新主页
• 当未设置密码时，QUARKUS-3170 Fix truststore REST Client config
• QUARKUS-3173 在运行时重新初始化 sun.security.pkcs11.P11Util
• QUARKUS-3174 Prevent SSE 编写可能会导致标头的累积
• QUARKUS-3175 Filter out RESTEasy related warning in ProviderConfigInjectionWarningsTest
• QUARKUS-3176 确保父模块加载到依赖于它们的工作区
• QUARKUS-3177 Fix copy paste error in qute docs
• 只有处于无根模式时，才会将 QUARKUS-3178 Pass --userns=keep-id 传递给 Podman
• 在发送质询恢复请求时，QUARKUS-3179 修复会卡住 HTTP2 请求
• QUARKUS-3180 在初始化用于 dev 模式的源和类路径时，使用有效的 Maven 项目构建配置
• QUARKUS-3181 确保 quarkus:go-offline 正确支持测试范围依赖项
• QUARKUS-3182 [2.13.x] - Update 2.13 以使用新的容器镜像
• QUARKUS-3184 Use "SchemaType.ARRAY" 而不是 "ARRAY" 用于原生支持
• QUARKUS-3185 代表 create-app.adoc 中的逻辑，并允许定义流
• QUARKUS-3187 Allow context propagation for OpenTelemetry
• QUARKUS-3188 Fix RestAssured URL 处理和 QuarkusProdModeTest 中的意外重启
• 使用 MacOS 和 Podman 时 QUARKUS-3191 Drop ':z' bind 选项
• QUARKUS-3194 Exclude Netty 反映配置文件
• QUARKUS-3195 集成来自 Infinispan 14 的 api 依赖项(#ISPN-14268)