Red Hat Developer Hub 1.2 发行注记

Red Hat Developer Hub 1.2

Red Hat Customer Content Services

摘要

Red Hat Developer Hub 是一个用于构建开发人员门户的开发人员平台。本文档包含 Red Hat Developer Hub 1.2 发行注记。

前言

Red Hat Developer Hub (Developer Hub) 1.2 现已正式发布。Developer Hub 是完全支持的企业级产品版本，上游 Backstage v1.26.5。您可以从红帽客户门户网站或生态系统目录访问并下载 Red Hat Developer Hub 应用程序。

Red Hat Developer Hub 支持

如果您在执行本文档所述的某个流程时遇到问题，请访问红帽客户门户。您可以使用红帽客户门户网站进行以下目的：

搜索或浏览红帽知识库，了解有关红帽产品的技术支持文章。
为红帽全球支持服务(GSS)创建支持问题单。https://access.redhat.com/support/cases/#/case/new/get-support?caseCreate=true要创建支持问题单，请选择 Red Hat Developer Hub 作为产品，然后选择适当的产品版本。

第 1 章关于此版本

本发行注记提供了 Red Hat Developer Hub 1.2 中已实现的功能的高级信息，并记录了本发行版中的已知问题。

本发行版本中的一些功能可能作为技术预览提供，提供对即将推出的产品功能的访问，使客户能够测试功能并在开发过程中提供反馈。

有关红帽技术预览功能支持范围的更多信息，请参阅技术预览支持范围。

Red Hat Developer Hub 的优点包括：

提高开发人员生产率 ：通过消除常见的组织挑战、实现无缝协作以及为创建、开发和部署应用程序提供明确的指导，提高开发人员的工作效率。
统一自助服务仪表板：通过统一仪表板 （如 Git、CI/CD、SAST/DAST、Supply Chain、OpenShift/Kubernetes 集群、JIRA、监控、API、文档等）提供给开发团队，由 150 个插件促进。所有由平台工程团队策展的，与公司的最佳实践一致。
通过软件模板进行最佳实践 ：通过编码通用任务（如创建新应用、运行 Ansible 作业以及为 Git 中生产部署建立 CI/CD 管道）来自动化组织最佳实践。
可扩展技术文档 ：代码和文档驻留在同一存储库中，消除了对专有文档系统的依赖性。
有效地加入新开发人员 ：新开发人员在短时间内迅速适应和提高生产力。
强大的企业级基于角色的访问控制(RBAC) ：让管理员创建角色、将用户或组分配到角色，以及实施强大的安全策略以增强访问控制。

第 2 章新功能

本节重点介绍 Red Hat Developer Hub 1.2 中的新功能。

2.1. Backstage 版本更新

Red Hat Developer Hub 现在基于上游 Backstage 项目 v1.26.5。

2.2. Telemetry

在这个版本中，您可以使用遥测数据收集功能，该功能默认是启用的。分析收集的数据有助于提高 Red Hat Developer Hub 体验。您可以根据您的需要禁用此功能。如需更多信息，请参阅 RHDH 中的禁用遥测数据收集部分。

2.3. 审计日志记录

管理员可以查看应用更改的详细信息，包括进行更改的用户的名称和角色，以及所做更改的时间。默认情况下，RBAC 插件和构建器操作会捕获审计日志数据。

管理员现在可以使用审计日志来查看对目录数据库的更改。跟踪在目录数据库中添加、删除或更新数据的更改有助于确保操作的责任和透明性。

2.4. RBAC 条件策略

现在，您可以在 Red Hat Developer Hub 中使用 RBAC 条件策略，根据动态条件启用访问控制。这些条件充当由 RBAC 插件管理的 Developer Hub 资源的内容过滤器。

您可以为 Keycloak 和 Quay Actions 插件指定条件策略。另外，您必须考虑查看没有 RBAC 控制的组件的安全需求。

如需更多信息，请参阅 Red Hat Developer Hub 中的基于角色的访问控制(RBAC)。

2.5. OCM 和 Topology 插件的 RBAC 权限

OCM 和 Topology 插件的基本权限现在添加到 Red Hat Developer Hub 中。对于没有 RBAC 控制的组件，您必须考虑检查您的安全需求。

2.6. 支持企业代理

在这个版本中，您可以通过设置 HTTP_PROXY 或 HTTPS_PROXY 环境变量，在企业代理后面运行 RHDH 应用程序。另外，您可以设置 NO_PROXY 环境变量，将某些域排除在代理中。如需更多信息，请参阅在企业代理部分后面运行 RHDH 应用程序。

2.7. 支持外部 PostgreSQL 数据库

在这个版本中，您可以在 Red Hat Developer Hub 中配置和使用外部 PostgreSQL 数据库。根据您的需要，您可以使用 PostgreSQL 证书文件使用 Operator 或 Helm Chart 配置外部 PostgreSQL 实例。如需更多信息，请参阅配置外部 PostgreSQL 数据库部分。

您可以在 Kubernetes 集群中配置带有传输层安全(TLS)连接的 RHDH 实例，如 Azure Red Hat OpenShift (ARO)集群、支持的云供应商中的任何集群，或者具有正确配置自己的集群。如需更多信息，请参阅在 Kubernetes 中配置带有 TLS 连接的 RHDH 实例。

2.8. Red Hat Developer Hub 1.2 中包含的新插件

Red Hat Developer Hub 1.2 包括以下额外插件：

HTTP Request action - @roadiehq/scaffolder-backend-module-http-request
Microsoft Azure 存储库操作 scaffolder-backend - @parfuemerie-douglas/scaffolder-backend-module-azure-repositories
GitLab 机构数据的目录后端模块 - @backstage/plugin-catalog-backend-module-gitlab-org
用于 scaffolder 关系目录处理器的目录后端模块 - @janus-idp/backstage-plugin-catalog-backend-module-scaffolder-relation-processor
第二个 ArgoCD 前端插件 - @janus-idp/backstage-plugin-argocd

有关支持的动态插件的完整列表，请参阅预安装的动态插件。

2.9. Red Hat Developer Hub 中的主题更新

在这个版本中，主题配置会被改进以更改不同 UI 组件的外观和感觉，以便它们几乎类似于设计红帽应用程序中使用的主题。您可能会注意到 UI 组件的变化，如按钮、标签页、侧边栏、卡和表，以及 RHDH 页面上所使用的背景颜色和字体的一些更改。

您可以更新 app-config.yaml 文件，以更改多个 Developer Hub 主题组件的查找以增强自定义。

2.10. `scaffolderFieldExtensions` 配置选项

现在，您可以在动态插件的前端配置中使用 scaffolderFieldExtensions 配置选项。builderFieldExtensions 选项允许动态插件指定要向 scaffolder 插件提供的一个或多个导出组件作为字段扩展。这些 scaffolder 字段扩展为软件模板向导提供自定义表单字段组件。

2.11. ConfigMap 或 Secret 配置的增强

在以前的版本中，更新 Backstage.spec.Application 中指定的 ConfigMap 或 Secret 需要重新创建 Pod 以应用更改。从版本 1.2 开始，此过程是自动的。

2.12. 能够配置学习路径

现在，您可以在 Developer Hub 中配置学习路径，创建根据您的特定学习需求量身定制的动态体验。

2.13. Red Hat Developer Hub 1.2.2 中的插件版本升级

在 Red Hat Developer Hub 1.2.2 中，以下插件版本已升级，如下所示：

插件	1.2.0 中的版本	1.2.2 中的版本
`@janus-idp/backstage-plugin-3scale-backend`	1.5.13	1.5.15
`@janus-idp/backstage-plugin-aap-backend`	1.6.13	1.6.15
`@janus-idp/backstage-plugin-acr`	1.4.11	1.4.13
`@janus-idp/backstage-plugin-analytics-provider-segment`	1.4.7	1.4.9
`@janus-idp/backstage-plugin-argocd`	1.1.6	1.2.3
`@janus-idp/backstage-plugin-jfrog-artifactory`	1.4.9	1.4.11
`@janus-idp/backstage-plugin-keycloak-backend`	1.9.10	1.9.12
`@janus-idp/backstage-plugin-nexus-repository-manager`	1.6.8	1.6.10
`@janus-idp/backstage-plugin-ocm`	4.1.6	4.1.8
`@janus-idp/backstage-plugin-ocm-backend`	4.0.6	4.0.8
`@janus-idp/backstage-plugin-quay`	1.7.6	1.7.8
`@janus-idp/backstage-scaffolder-backend-module-quay`	1.4.10	1.4.12
`@janus-idp/backstage-plugin-rbac`	1.20.11	1.23.2
`@janus-idp/backstage-scaffolder-backend-module-regex`	1.4.10	1.4.12
`@janus-idp/backstage-plugin-catalog-backend-module-scaffolder-relation-processor`	1.0.1	1.0.3
`@janus-idp/backstage-scaffolder-backend-module-servicenow`	1.4.12	1.4.14
`@janus-idp/backstage-scaffolder-backend-module-sonarqube`	1.4.10	1.4.12
`@janus-idp/backstage-plugin-tekton`	3.7.5	3.7.7
`@janus-idp/backstage-plugin-topology`	1.21.7	1.21.10
`@janus-idp/backstage-plugin-rbac`	1.23.2	1.24.1

第 3 章可能会造成问题的更改

本节列出了 Red Hat Developer Hub 1.2 的破坏更改：

3.1. 现在，必须明确启用客户机验证

在以前的 Red Hat Developer Hub 版本中，默认启用客户机身份验证。从 Developer Hub 1.2 开始，客户机验证默认被禁用，需要明确启用才能使用。

客户机登录由必须明确启用的特殊身份验证提供程序提供。此身份验证供应商 只应用于开发目的，不适用于生产环境，因为它会创建一个对 Developer Hub 实例的用户级别访问权限的默认用户。

您可以在 app-config-rhdh ConfigMap 中启用客户机身份验证供应商，如下所示：

auth:
  providers:
    guest:
      dangerouslyAllowOutsideDevelopment: true

auth:
  providers:
    guest:
      dangerouslyAllowOutsideDevelopment: true

Copy to Clipboard

3.2. 改进了来自不同源的验证权限策略

在本发行版本中，Developer Hub 根据您定义第一个角色的方式，对权限策略和角色源提供更严格的验证。

这个版本改进了权限策略和角色的不同源的验证，并提供更一致的策略定义。如果具有新成员的权限策略或角色与原始角色的源不匹配，Developer Hub 会阻止对权限的任何更新。源包括 'REST、'CSV'、'Configuration' 和 'legacy'。

在更新 Red Hat Developer Hub 应用程序前，您应该根据各自角色将所有权限策略和角色迁移到单个源。这可以通过使用 GET roles 端点来查看源信息，并查询权限数据库的 role-metadata 表来完成。您可以使用以下方法之一对权限策略进行更新：REST API、CSV 文件和数据库。

第 4 章技术预览

本节列出了 Red Hat Developer Hub 1.2 中技术预览的功能。

重要

这些功能仅用于技术预览。红帽产品服务级别协议（SLA）不支持技术预览功能，且其功能可能并不完善，因此红帽不建议在生产环境中使用它们。这些技术预览功能可以使用户提早试用新的功能，并有机会在开发阶段提供反馈意见。

有关红帽技术预览功能的更多信息，请参阅技术预览功能范围。

4.1. Red Hat Developer Hub 中的插件

Red Hat Developer Hub 包含各种动态插件。红帽完全支持某些插件，而其他插件则是社区支持的项目。有些插件会被默认启用，其他插件需要配置，因此默认禁用。

要获得支持的动态插件的完整列表，请参阅 Red Hat Developer Hub 指南中的预安装的动态插件部分。

第 5 章已知问题

本节列出了 Red Hat Developer Hub 1.2 中已知的问题：

弃用警告： backend.auth.keys 配置已被 backend.auth.externalAccess 替代

由于更改后端服务到服务身份验证，如果您将部署设置为使用 upstream.backstage.appConfig 中配置的 backend.auth.keys 字段，则会看到一个弃用警告，且不需要任何操作。

IP 地址可能会出现在应用程序日志中

如果您在没有代理的情况下部署 Developer Hub，则 IP 地址可能会出现在审计日志中。如果机构的安全策略限制您保留 IP 地址，您可以执行以下操作之一或两个操作：

在收集 IP 地址后删除 IP 地址。
通过在 Developer Hub 前配置反向代理来防止 IP 地址集合。

升级到 Developer Hub 1.2 后，目录或软件模板中缺少项目

升级到 Developer Hub 1.2 后，用户策略不会自动迁移或更新，从而导致项目没有出现在目录或软件模板中。

要解决这个问题，在升级到 1.2 后，用户需要在 Developer Hub RBAC 系统页面中添加必要的策略。

不支持回滚

如果使用 Helm 或 Operator 部署 Developer Hub，则不支持回滚到更早的版本。对 Developer Hub PostgreSQL 数据库执行常规备份可帮助您在出现问题时将应用程序恢复到最新状态。在 Developer Hub 的未来版本中，我们计划提供如何从现有备份执行回滚的指导。

第 6 章修复了 Red Hat Developer Hub 1.2 的问题

6.1. 修复了 Red Hat Developer Hub 1.2.2 的问题

本节列出了 Red Hat Developer Hub 1.2.2 中的固定问题：

如果 ConfigMap 中的文件名无效，动态插件无法加载: 在以前的版本中，ConfigMap 中有一个无效的动态插件文件名会阻止创建 Backstage CR。在这个版本中，即使带有无效的插件文件名，也可以创建 Backstage CR，如果 Developer Hub 构建失败，也会显示对应的日志消息。
RBAC 管理 UI 中的权限表中缺少插件 ID: 在以前的版本中，UI 中的权限表中缺少从 Administration → RBAC 访问的插件 ID。在这个版本中，对 RBAC 后端和前端插件的更新可确保在表中显示插件 ID。
ArgoCD 插件 UI 中不再显示基于 Helm Chart 的工作流的 Git 信息: 在以前的版本中，ArgoCD 插件 UI 显示所有工作流的 Git 信息，包括那些没有基于 Git 的工作流。在这个版本中，ArgoCD 插件 UI 只显示与它相关的工作流的 Git 信息，确保只显示相关的工作流。

6.2. 修复了 Red Hat Developer Hub 1.2 的问题

本节列出了 Red Hat Developer Hub 1.2 中的修复问题：

在升级到 Backstage 1.25 后，动态插件无法加载

Backstage 1.25 中引入的上游安全修复需要所有后端端点的身份验证令牌，包括动态插件使用的静态资产。

在这个版本中，用户可以访问动态插件 UI 元素，从而导致用户体验降低应用程序中的功能。

在本发行版本中，动态插件静态资产的安全要求已被删除，它会恢复对动态插件 UI 元素的访问。

在这个版本中，用户可以查看和与动态插件 UI 元素交互，从而提高了应用程序中的可用性和功能。

在为 scaffolder-action resource-type 添加条件时，API 会抛出错误

在早期版本的 Red Hat Developer Hub 中，使用策略操作定义条件策略会导致错误。

此问题导致定义条件策略比较困难，从而阻止应用程序的配置权限。

在这个版本中，您可以使用权限策略操作在 Developer Hub 中定义条件策略。

在 OpenShift 上使用 Developer Hub Operator 时设置自定义路由无法正常工作

在早期版本的 Red Hat Developer Hub Operator 中，无法使用 Custom Resource 中的 spec.application.route.host 字段在 OpenShift Container Platform 上设置自定义 Route 主机。

这个限制会阻止用户配置自定义路由主机，限制他们自定义部署环境的能力。

在这个版本中，您可以使用自定义资源中的指定字段在 OpenShift Container Platform 上设置自定义路由主机。

在其名称中挂载带有 '.' 的 secret/configmap

在早期版本的 Red Hat Developer Hub Operator 中，如果该对象的名称中包含句点(.)字符，则无法引用自定义资源中的 ConfigMap 或 Secret 对象。

这个问题导致 Red Hat Developer Hub 实例无法正确启动。

在这个版本中，这个问题已被解决。

将 Developer Hub Operator 从 1.1 升级到 1.2 会导致现有实例使用新的空数据库

当将 Red Hat Developer Hub Operator 从版本 1.1 升级到 1.2 时，带有已在运行的 Developer Hub 实例，实例已配置为使用一个新的空本地数据库 pod 和卷。

现有数据库数据被保留，但这种错误配置会导致现有 Developer Hub 实例使用新的空本地数据库 pod 和卷，从而导致数据冗余和潜在的数据不一致问题。

在这个版本中，当 Operator 升级到更新的版本时，确保现有 Developer Hub 实例继续使用现有的本地数据库。

使用 Operator 时 UI pod 会保持"Pending"

在早期版本的 Red Hat Developer Hub 中，因为缺少资源请求，由(product-short) Operator 创建的 Developer Hub pod 可能无法调度到某些集群中。

此问题会导致 Developer Hub 应用程序不可用，因为 pod 无法被正确调度。

在这个版本中，在 Operator 的默认配置中添加了 CPU 和内存请求，确保 Developer Hub pod 具有指定的所需资源请求。

在这个版本中，Developer Hub pod 可以在所有集群上正确调度并启动，确保 Red Hat Developer Hub 应用程序的可用性。

允许为数据库在自定义资源中指定镜像 pull secret

在早期版本的 Red Hat Developer Hub Operator 中，指定镜像 pull secret 以从存储库（如 registry.redhat.io ）拉取容器镜像不会影响数据库镜像。当 Kubernetes 集群中（如 Amazon EKS 或 Azure AKS）中部署 Developer Hub 时，这个限制会阻止从 registry.redhat.io' 使用数据库镜像。

因此，用户无法从 Kubernetes 集群中的 registry.redhat.io 部署数据库镜像，从而限制部署灵活性和兼容性。

在这个版本中，通过传播在 spec.application.imagePullSecrets Custom Resource 字段中指定的镜像 pull secret 解决了这个问题。现在，您可以将这些 secret 用于 Developer Hub 和数据库镜像。

在这个版本中，用户可以成功为 Developer Hub 和数据库镜像使用镜像 pull secret，允许从 Kubernetes 集群（如 Amazon EKS 或 Azure AKS）中的 registry.redhat.io 等存储库进行部署。这样可确保在不同环境中具有更大的灵活性和兼容性。

禁用 RBAC 插件时会出现 RBAC 标签页

在 Red Hat Developer Hub 的早期版本中，当禁用 Role-Based Access Control (RBAC)插件时，RBAC 选项卡会在禁用 RBAC 插件时保持可见。

在这个版本中，确保在禁用 RBAC 插件时隐藏 RBAC 选项卡。

在这个版本中，当禁用 RBAC 插件时，RBAC 选项卡不再可见，从而导致更干净的用户界面。

以编辑表单显示之前创建的简单权限策略的配置访问按钮

在以前的版本中，当用户创建简单权限策略且稍后返回到编辑角色时，则不会显示 Configure Access 按钮。

因此，用户无法为使用简单权限策略创建的角色添加条件权限策略，从而限制更新和优化访问控制的能力。

在本发行版本中，角色表单已被更新，以显示之前为支持条件的插件和资源类型创建了简单权限策略的 Configure Access 按钮。在这个版本中，用户可以添加和保存新的条件策略。

冲突条件操作集

在以前的版本中，Condition API 允许存储多个有冲突操作集的条件。

此问题可能会导致权限处理中的不一致和冲突，从而导致应用程序出现意外行为。

在这个发行版本中，Condition API 已被更新，以防止存储带有冲突操作集的多个条件。

RBAC 后端管理元数据和策略删除

在以前的版本中，当 admins 从配置中删除时，它们关联的管理元数据和策略不会被自动删除。

此问题会导致应用程序中过时的管理元数据和策略保留。

在本发行版本中，当管理员从应用程序配置中删除时，会移除 admin 元数据和策略。

在将 Operator 从 1.1.x 升级到 1.2.x 后，现有 Backstage 操作对象没有升级

在以前的版本中，Developer Hub Operator 升级过程存在一个问题，它会阻止 Operator 支持的 Developer Hub 实例在 Developer Hub Operator 本身升级时无缝升级。这是因为，当尝试协调现有 Developer Hub 自定义资源时，Operator 会拒绝对 Kubernetes 或 OpenShift Container Platform 限制或只读的特定字段进行补丁。

此问题会导致在升级过程中达到所需状态失败。

在这个版本中，Operator 已重构，以便在无法修补它们时，通过强制替换对象来解决这些问题。但是，作为一个已知问题，用户可能需要在升级后在由 Developer Hub Operator 管理的底层资源上重新创建任何自定义标签或注解。

列出 Janus IDP Backstage Plugin OCM 后端动态中的集群资源失败

在以前的版本中，OpenShift Cluster Manager (OCM)插件 Readme 文件没有有关如何在 Kubernetes 集群上配置 OCM 的信息。

由于缺少这个信息，用户无法将 OCM 插件配置为获取集群，从而导致插件无法显示集群。

在本发行版本中，Readme 文件已被更新，使其包含在 Kubernetes 集群上配置 OCM 的链接，并提供了在启用了 RBAC 权限框架时启用对 OCM 后端插件的访问的说明。

现在，用户可以正确配置 OCM 插件以在 OCM 前端中获取和显示集群，确保插件按预期运行。

RBAC：不获取目录实体。请求失败，并带有 403 Forbidden。

最近对 Backstage 的更新需要使用服务到服务身份验证进行更新，以使用新的 httpAuth 和 auth 服务。

如果没有这些更新，RBAC 后端插件无法从其他插件查询信息。在这个版本中，修改 RBAC 后端插件，以使用新的 httpAuth 和 auth 服务进行服务到服务身份验证。

在这个版本中，RBAC 后端插件可以在不中断的情况下从其他插件成功查询信息。

在水平扩展时 RBAC 角色数据不同步

在扩展 Developer Hub 实例时，角色数据会不同步，因为实例之间没有共享内存缓存。

此问题会导致不同实例之间的角色数据不一致。

在这个版本中，扩展 Developer Hub 实例不再会导致角色数据不同步。

GitLab 组织同步无法正常工作

最近对 Gitlab 插件的更新会导致同步组织供应商数据失败。

在本发行版本中，这个问题已通过包含公开 Gitlab 组织的 Gitlab 插件的打包程序来解决这个问题。

Helm 部署显示空的白色屏幕和 404 错误，加载静态内容

对上游 Helm Chart 的最新更改会意外阻止部署静态资源。

随着 Developer Hub 1.2.1 Helm Chart 的发布，这个问题已被解决。

6.3. 修复了安全问题

6.3.1. 修复了 Red Hat Developer Hub 1.2.6 中的安全问题

6.3.1.1. Red Hat Developer Hub 依赖项更新

CVE-2024-37890: 在 Node.js WebSocket 库(ws)中发现了一个安全漏洞。带有多个标头超过 'server.maxHeadersCount' 阈值的请求可能会导致 ws 服务器崩溃，从而导致拒绝服务。
CVE-2024-43799: Send 库中发现了一个安全漏洞。此漏洞允许通过传递给 SendStream.redirect （）函数的不受信任的输入来执行远程代码。
CVE-2024-43800: 在 service-static 中发现了一个安全漏洞。此问题可能允许通过将 sanitized 不被信任的用户输入传递给 redirect （）来执行不受信任的代码。
CVE-2024-45590: 在 body-parser 中发现了一个安全漏洞。此漏洞会在启用 URL 编码时通过特殊设计的有效负载拒绝服务。

6.3.2. 修复了 Red Hat Developer Hub 1.2.5 中的安全问题

6.3.2.1. Red Hat Developer Hub 依赖项更新

CVE-2024-21529: dset 软件包中发现了一个安全漏洞。因为用户输入不正确，这个软件包的受影响版本会通过 dset 功能进行 Prototype Pollution vulnerable。此漏洞允许使用内置 Object 属性 proto 注入恶意对象属性，该属性会递归分配给程序中的所有对象。
CVE-2024-21536: http-proxy-middleware 软件包中发现了一个安全漏洞。因为 UnhandledPromiseRejection 错误导致这个软件包的拒绝拒绝服务(DoS)受到微匹配的影响。通过这个漏洞，攻击者可以通过请求某些路径来终止 Node.js 进程并使服务器崩溃。
CVE-2024-21538: 软件包的版本会因为输入不正确而不正确，在 7.0.5 之前，软件包的版本会受到 Regular Expression Denial of Service (ReDoS)的影响。攻击者可以通过设计非常大、精心设计的字符串来提高 CPU 使用量并使程序崩溃。
CVE-2024-24791: Go 中发现了一个安全漏洞。net/http 模块错误处理来自 HTTP/1.1 客户端请求的特定服务器响应。此问题可能会导致连接无效，并导致拒绝服务。
CVE-2024-37890: 在 Node.js WebSocket 库(ws)中发现了一个安全漏洞。带有多个标头超过 'server.maxHeadersCount' 阈值的请求可能会导致 ws 服务器崩溃，从而导致拒绝服务。
CVE-2024-39249: async Node.js 软件包中发现了一个安全漏洞。在解析特殊制作的输入时，可能会通过自动注入函数触发服务(ReDoS)攻击。
CVE-2024-43799: Send 库中发现了一个安全漏洞。此漏洞允许通过传递给 SendStream.redirect （）函数的不受信任的输入来执行远程代码。
CVE-2024-43800: 在 service-static 中发现了一个安全漏洞。此问题可能允许通过将 sanitized 不被信任的用户输入传递给 redirect （）来执行不受信任的代码。
CVE-2024-45590: 在 body-parser 中发现了一个安全漏洞。此漏洞会在启用 URL 编码时通过特殊设计的有效负载拒绝服务。
CVE-2024-48949: Elliptic 软件包中发现了一个安全漏洞。此漏洞允许攻击者通过不当处理签名值来绕过 EDDSA 签名验证，其中签名的 S （）组件没有正确检查到非负值或小于 curve 顺序。

6.3.2.2. RHEL 9 平台 RPM 更新

CVE-2024-6119: OpenSSL 中发现了一个安全漏洞。执行证书名称检查（例如，TLS 客户端检查服务器证书）可能会尝试读取无效的内存地址，从而导致应用程序进程出现异常终止。
CVE-2024-6923: 使用 Python 语言的电子邮件模块中发现了一个漏洞。电子邮件模块没有在电子邮件标头中正确引用新行。通过此漏洞，攻击者可以注入可能以及其他可能性的电子邮件标头，添加隐藏的电子邮件目的地或将内容注入电子邮件，影响数据保密性和完整性。
CVE-2024-37370: 在 MIT Kerberos 5 GSS krb5 wrap 令牌中发现了一个漏洞，攻击者可以修改明文 Extra Count 字段，从而导致未封装的令牌在传输过程中更改令牌数据时，这会导致对应用程序的处理不正确。
CVE-2024-37371: 在 MIT Kerberos 5 GSS krb5 wrap 令牌中发现了一个漏洞，攻击者可以修改明文 Extra Count 字段，从而导致未封装的令牌在传输过程中更改令牌数据时，这会导致对应用程序的处理不正确。
CVE-2024-39331: Emacs 中发现了一个安全漏洞。当打开 Org 模式文件时，或启用了 Org 模式时，可以不提示执行任意 shell 命令，当 Emacs 用作电子邮件客户端时，可以在预览电子邮件附件时触发此问题。
CVE-2024-45490: libexpat 的 xmlparse.c 组件中发现了一个安全漏洞。通过为 XML_ParseBuffer 功能提供负长度值，攻击者可以利用这个漏洞导致 XML 数据处理不正确。
CVE-2024-45491: 在 xmlparse.c 中的 libexpat 的内部 dtdCopy 函数中发现了一个问题，在 UINT_MAX 等于 SIZE_MAX 的 32 位平台上可以有一个整数溢出。
CVE-2024-45492: 在 xmlparse.c 中的 libexpat 的内部 nextScaffoldPart 功能中发现了一个安全漏洞。在 32 位平台上，它可以有一个整数溢出，其中 UINT_MAX 等于 SIZE_MAX。

6.3.3. 修复了 Red Hat Developer Hub 1.2.3 中的安全问题

本节列出了 Red Hat Developer Hub 1.2.3 中的固定安全问题：

CVE-2024-41818: 在 currency.js 脚本的 fast-xml-parser 中发现了一个正则表达式拒绝服务(ReDoS)漏洞。通过发送特制的正则表达式输入，远程攻击者可能会导致拒绝服务状况。此漏洞已在 4.4.1 中解决。
CVE-2024-37891: 在 urllib3 中发现了一个安全漏洞，即 Python 的 HTTP 客户端库。在某些配置中，urllib3 不将 Proxy-Authorization HTTP 标头视为执行身份验证材料的一个内容。此问题会导致在跨原始重定向上剥离标头。此漏洞已在 2.2.2 中解决。
CVE-2024-39338: Axios 1.7.2 允许，当对路径相对 URL 的请求作为协议相对 URL 进行处理时，SSRF 通过意外行为进行处理。此漏洞已在 1.7.4 中解决。

6.3.4. 修复了 Red Hat Developer Hub 1.2.2 中的安全问题

本节列出了 Red Hat Developer Hub 1.2.2 中的固定安全问题：

CVE-2024-28863: 在 ISAACS 的 node-tar 中发现了一个安全漏洞，它容易受到拒绝服务的影响，因为缺少文件夹计数验证造成的。此漏洞存在，因为应用程序在解析 .tar 文件时无法正确控制内部资源的消耗。通过发送特制的请求，远程攻击者可以触发资源耗尽，并执行拒绝的服务(DoS)攻击。

6.3.5. 修复了 Red Hat Developer Hub 1.2 中的安全问题

本节列出了 Red Hat Developer Hub 1.2 中的安全问题：

CVE-2023-6597: 在 python3/cpython3 中的 tempfile.TemporaryDirectory 类中发现了一个安全漏洞。在权限相关的错误期间，类可能会解引用符号链接，从而导致运行特权程序的用户能够修改符号链接所引用文件的权限。
CVE-2024-0450: Python/CPython 'zipfile' 中发现了一个安全漏洞，它允许 zip-bomb 的攻击类型。攻击者可以制作一个 zip 文件格式，从而导致在处理时拒绝服务。
CVE-2024-35195: 请求中发现了一个不正确的控制流实现漏洞。如果使用 verify=False 进行会话中的第一个请求，则对同一主机的所有后续请求都忽略证书验证。
CVE-2024-27307: 发现了一个漏洞，它可以利用 JSONata 转换操作器覆盖对象构造器和原型上的属性。这可能会导致在评估用户提供的 JSONata 表达式的应用程序中拒绝服务、远程代码执行或其他不可预见的行为。
CVE-2024-34064: jinja2 中发现了一个安全漏洞。xmlattr 过滤器接受 包含非属性字符的密钥。XML/HTML 属性不能包含空格、/、> 或 =，因为每个属性都解释为启动单独的属性。如果应用程序接受键（而不是只作为值）作为用户输入，并在其他用户看到的页面中呈现它们，攻击者可以注入其他属性并执行跨站点脚本(XSS)。
CVE-2023-45288: 通过使用 Go 编程语言实现 HTTP/2 协议，发现了一个漏洞。对在单个流内发送的 CONTINUATION 帧数量有限制。攻击者可能会利用此漏洞造成拒绝的服务(DoS)攻击。
CVE-2024-27316: Apache httpd 如何实施 HTTP/2 协议中发现了一个漏洞。对可在单个流中发送的 CONTINUATION 帧量有不足的限制。此问题可能会允许未经身份验证的远程攻击者向易受攻击的服务器发送数据包，这可能会使用内存资源导致 DoS。

法律通告

The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.

Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.

Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.

Linux® is the registered trademark of Linus Torvalds in the United States and other countries.

Java® is a registered trademark of Oracle and/or its affiliates.

XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.

MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.

Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.

The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.

All other trademarks are the property of their respective owners.