Die folgende Liste enthält alle Sicherheitslücken die in den Workern auftreten können. Einige werden mit der baldigen Umstellung auf Java 17 behoben werden.
CVE-2016-100002: Spring RCE: HttpInvokerServiceExporter
Die Schwachstelle kommt durch Spring Core in die jadice Produkte. Die CVE wurde schon vor über 2 Jahren gemeldet, wird aber wohl erst seit 11/2022 von einigen Dependency Checkern (SonarQube, ...) als Critical gemeldet.
...
→ Betrifft nur Worker mit Java < 17 → Wird durch die baldige Umstellung auf Java 17 behoben!
CVE-2022-1471: snakeyaml
Die CVEs kommen durch Spring Boot in die Worker. Der CVE kann theoretisch zur Remote Code Execution genutzt werden (RCE).
...
→ Weitere Informationen zur Sicherheitslücke
CVE-2023-25193 / CVE-2023-29499 / CVE-2023-4911 / CVE-2023-45853: Debian 11 und 12 Image
Betroffen ist hier das Debian Image - libharfbuzz0b, libglib2.0-0, zlib1g und libc6.
...
→ CVE-2023-4911: libc6 (Debian 12): potential use-after-free in getaddrinfo() → Warten auf aktualisierten Container
CVE-2022-34169: xalan
Sicherheitslücke in Apache Xalan Java XSLT wenn bösartige XSLT-Stylesheets verarbeitet werden. Java Klassen, die vom XSLTC Compiler erstellt werden, können so beschädigt werden, dass beliebiger Java Bytecode ausgeführt werden kann.
...
→ Weitere Informationen zur Sicherheitslücke
CVE-2023-21930: openjdk-11-jre
Diese Sicherheitslücke ermöglicht es Angreifern über TLS Oracle Java zu kompromittieren.
→ Weitere Informationen zur Sicherheitslücke
CVE-2023-0464: libssl, openssl
Sicherheitslücke in allen Versionen von OpenSSL. Es ist möglich eine bösartige cerificate chain zu erstellen, die zu einen Denial-of-Service (DoS) Angriff führen kann.
→ Weitere Informationen zur Sicherheitslücke
CVE-2023-5363: alpine (im worker-pandoc)
→ Warten auf Fix-Version
→ Weitere Informationen zur Sicherheitslücke
...