2.2. 已解决的问题
本节提供了已在 Migration Toolkit for Applications (MTA)版本 7.0.3 中解决的问题。
CVE-2024-29180: 在 webpack-dev-middleware
软件包中发现了一个安全漏洞,它无法完全验证提供的 URL 地址
在版本 7.1.0 和 6.1.2 之前,webpack-dev-middleware
软件包的版本中发现了一个安全漏洞,它无法在返回本地文件前验证提供的 URL 地址。此缺陷允许攻击者从开发人员机器返回任意本地文件。在调用中间件前缺少规范化功能,还可以允许攻击者对目标环境执行路径遍历攻击。
如需了解更多详细信息,请参阅 (CVE-2024-29180)
CVE-2023-45288: Golang: net/http, x/net/http2
: 无限数量的 CONTINUATION 帧可能会导致拒绝服务(DoS)攻击
在 Go 编程语言中实施 HTTP/2
协议时发现了一个安全漏洞。在单个流中发送的 CONTINUATION 帧数量没有限制。攻击者可能会利用此漏洞造成拒绝服务(DoS)攻击。
如需了解更多详细信息,请参阅 (CVE-2023-45288)。
CVE-2023-45857: Axios 漏洞可以公开存储在 Cookie 中的机密数据
在 Axios 中发现了一个安全漏洞,它可能会公开存储在 Cookie 中的机密 XSRF-TOKEN
,方法是在向任何主机发出的每个请求的 HTTP 标头 X-XSRF-TOKEN
中包含在 HTTP 标头 X-XSRF-TOKEN 中。此问题可以允许远程攻击者绕过安全措施并查看敏感数据。
如需了解更多详细信息,请参阅 (CVE-2023-45857)。
CVE-2023-45286: go-resty
: HTTP 请求正文在 github.com/go-resty/resty/v2 中
go-resty
中的竞争条件可能会导致 HTTP 请求正文跨请求披露。当 sync.Pool.Put
在请求重试期间调用相同的 bytes.Buffer
多次时,可以触发竞争条件。这可能会导致不相关的服务器接收请求正文,并可能会公开敏感信息。
如需了解更多详细信息,请参阅 (CVE-2023-45286)。
CVE-2023-26364: CSS 工具:Improper Input Validation cause Denial by Regular
在 Adobe CSS 工具中发现了一个安全漏洞。当使用解析组件解析恶意 CSS 时,操作输入验证可能会导致服务次要拒绝服务。强制环境不需要用户交互和特权。
如需了解更多详细信息,请参阅 (CVE-2023-26364)。
CVE-2023-45287: Golang: crypto/tls
: Timing Side Channel Attack in an RSA-2023-45287s
Golang 加密 /tls 标准库
中发现了一个安全漏洞。在 1.20 之前的版本中,通过观察基于 RSA 的传输层安全(TLS)密钥交换所需的时间,软件包容易受到 Timing side-channel 攻击的影响。潜在的时间攻击允许此漏洞,删除 PKCS#1
padding 可能会泄漏,并可能会公开会话密钥位。
如需了解更多详细信息,请参阅 (CVE2023-45287)。
CVE-2023-39326: Golang: net/http/internal
: 拒绝服务(DoS)是由 HTTP 请求的资源消耗造成的
Golang net/http/internal
软件包中发现了一个安全漏洞,可能会导致恶意的 HTTP 发件人导致从请求或响应正文读取的接收器从网络中读取比正文更多的字节。 此漏洞可能会导致接收器无法读取响应,从而导致拒绝服务(DoS)。
如需了解更多详细信息,请参阅 (CVE-2023-39326)。
CVE-2023-48631: Improper Input Validation 安全漏洞会影响be css-tools
在解析 CSS 时,Adobe 的 css-tools
、版本 4.3.1 及更早版本中发现了一个 Regular Expression Denial of Service (ReDoS)安全漏洞。由于输入验证不正确,在尝试解析 CSS 时可能会导致拒绝服务,并可能导致攻击者使用输入字符串来导致拒绝服务,特别是在尝试解析 CSS 时。
如需了解更多详细信息,请参阅 (CVE-2023-48631)。
CVE-2023-26159: follow-redirects
软件包:由于 url.parse ()
函数不正确的处理 URL 导致 Improper Input Validation 导致
在 1.15.4 之前的版本中发现了一个 Improper Input Validation 缺陷,因为 url.parse
() 函数处理 URL 不正确。 当新
URL ()
抛出错误时,操作主机名可能会利用此漏洞,从而导致错误解译和潜在的流量重定向到恶意站点。
如需了解更多详细信息,请参阅 (CVE-2023-26159)。
CVE-2024-24786: 在 Golang 的 protobuf 模块中发现了一个安全漏洞,unmarshal 功能可以进入一个死循环
在 protojson.Unmarshal
函数中发现了一个安全漏洞,它可能会导致函数在 unmarshaling 特定的无效 JSON 消息时进入死循环。当 unmarshaling into a google.protobuf.Any
值或者在 JSON 格式的消息中设置 UnmarshalOptions.DiscardUnknown
选项时,可能会出现此条件。
如需了解更多详细信息,请参阅 (CVE-2024-24786)。
CVE-2024-28849: follow-redirects
软件包: 可能会导致可能的凭证泄漏
在 1.1.5 之前,在后续解析软件包版本
中发现了一个安全漏洞。当后续 重定向处理跨域重定向
时,会发生此漏洞。它无法清除 proxy-authentication
标头,该标头可能包含凭据,同时清除授权标头。因此,此漏洞可能会导致泄漏敏感凭证。
如需了解更多详细信息,请参阅 line:https://access.redhat.com/security/cve/CVE-2024-28849[(CVE-2024-28849)]。
修复了在对两个问题运行评估时的不正确的评估状态
在 MTA 7.0.2 中,运行两个问题显示 评估
状态为 Not started
而不是 In progress
。在这个版本中,这个问题已被解决。因此,在启动一个 questionnaire 或 archetype 后,评估 状态会显示 In progress
。
无法使用基本身份验证连接到 JIRA 服务器
在 MTA 7.0.2 中,使用基本身份验证(即用户名和密码)连接到 JIRA 服务器会失败。这个问题已在 MTA 7.0.3 中解决。(MTA-2427)
无法激活 Enable insecure 通信
交换机
在 MTA 7.0.2 中,在创建或编辑 JIRA 实例时,无法在 Enable insecure 通信
交换机中启用。这个问题已在 MTA 7.0.3 中解决。(MTA-2426)
对于没有外部依赖项的 JAR 文件,二进制分析会失败
在 MTA 7.0.2 中,对于没有外部依赖项的 Java 归档(JAR)文件,二进制分析会失败。这个问题已在 MTA 7.0.3 中解决。(MTA-2661)
IntelliJ IDE 插件的密钥映射操作无法正常工作。
在之前的 MTA 版本中,IntelliJ IDE 插件密钥映射操作无法正常工作。尽管 MTA 扩展打开,也不会专注于它。因此,其他操作将无法正常工作。(MTA-2460)
有关本发行版本中解决的所有问题的完整列表,请参阅 JIRA 中的解决问题列表。