1.2.8. OpenShift Logging 5.0.3
此发行版本包括 RHSA-2021:1515 - 安全公告。重要的 OpenShift Logging 程序错误修复版本 (5.0.3)。
1.2.8.1. 安全修复
- jackson-databind: slf4j-ext 类中的任意代码执行(CVE-2018-14718)
- jackson-databind: blaze-ds-opt 和 blaze-ds-core 类中的任意代码执行(CVE-2018-14719)
- jackson-databind:在某些 JDK 类中进行过滤/XXE(CVE-2018-14720)
- jackson-databind:axis2-jaxws 类中的服务器端请求伪造(SSRF)(CVE-2018-14721)
- jackson-databind: axis2-transport-jms 类中的不正确的 polymorphic deserialization(CVE-2018-19360)
- jackson-databind: openjpa 类中的不正确的 polymorphic deserialization(CVE-2018-19361)
- jackson-databind: jboss-common-core 类中的不正确的 polymorphic deserialization(CVE-2018-19362)
- jackson-databind:默认输入错误处理导致执行远程代码(CVE-2019-14379)
- jackson-databind:com.pastdev.httpcomponents.configuration.JndiConfiguration 中的 serialization gadgets(CVE-2020-24750)
- Jackson-databind:错误地处理与 org.apache.commons.dbcp2.datasources.PerUserPoolDataSource(CVE-2020-35490)相关的序列化 gadget 和输入之间的交互
- Jackson-databind:错误处理与 org.apache.commons.dbcp2.datasources.SharedPoolDataSource(CVE-2020-35491)相关的序列化 gadget 和输入之间的交互
- Jackson-databind:错误处理与 com.oracle.wls.shaded.org.apache.xalan.lib.sql.JNDIConnectionPool(CVE-2020-35728)
- Jackson-databind:错误处理与 oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS(CVE-2020-36179)
- Jackson-databind:错误地处理与 org.apache.commons.dbcp2.cpdsadapter.DriverAdapterCPDS(CVE-2020-36180)
- Jackson-databind:错误地处理与 org.apache.tomcat.dbcp.dbcp.cpdsadapter.DriverAdapterCPDS(CVE-2020-36181)
- Jackson-databind:错误地处理与 org.apache.tomcat.dbcp.dbcp2.cpdsadapter.DriverAdapterCPDS(CVE-2020-36182)
- Jackson-databind:错误处理序列化 gadgets 和输入与 org.docx4j.org.apache.xalan.lib.sql.JNDIConnectionPool(CVE-2020-36183)
- Jackson-databind:错误地处理与 org.apache.tomcat.dbcp.dbcp2.datasources.PerUserPoolDataSource(CVE-2020-36184)相关的序列化 gadget 和输入的交互
- Jackson-databind:错误地处理与 org.apache.tomcat.dbcp.dbcp2.datasources.SharedPoolDataSource(CVE-2020-36185)
- jackson-databind:与 org.apache.tomcat.dbcp.dbcp.datasources.PerUserPoolDataSource 相关的,在 serialization gadgets 和 typing 间交互的错误处理(CVE-2020-36186)
- jackson-databind:与 org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSource 相关的,在 serialization gadgets 和 typing 间交互的错误处理(CVE-2020-36187)
- jackson-databind:与 com.newrelic.agent.deps.ch.qos.logback.core.db.JNDIConnectionSource 相关的,在 serialization gadgets 和 typing 间交互的错误处理(CVE-2020-36188)
- jackson-databind:与 com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManagerConnectionSource 相关的,在 serialization gadgets 和 typing 间交互的错误处理(CVE-2020-36189)
- jackson-databind:与 javax.swing 相关的,在 serialization gadgets 和 typing 间的交互的错误处理(CVE-2021-20190)
- golang:在特定包括了 ReverseProxy 的 net/http 服务器中的数据竞争可能会导致 DoS(CVE-2020-15586)
- golang:ReadUvarint 和 ReadVarint 可以从无效的输入中读取没有限制的字节数(CVE-2020-16845)
- OpenJDK:不完整的 JAR 签名禁用算法的强制实施(Librial, 8249906)(CVE-2021-2163)
以下 Jira 包含上述 CVE:
- LOG-1234 CVE-2020-15586 CVE-2020-16845 openshift-eventrouter: various flaws [openshift-4].(LOG-1234)
- LOG-1243 CVE-2018-14718 CVE-2018-14719 CVE-2018-14720 CVE-2018-14721 CVE-2018-19360 CVE-2018-19361 CVE-2018-19362 CVE-2019-14379 CVE-2020-35490 CVE-2020-35491 CVE-2020-35728… logging-elasticsearch6-container: various flaws [openshift-logging-5.0].(LOG-1243)