Versionen im Vergleich

Alte Version 3

changes.mady.by.user Simon Welsch

Gespeichert am

verglichen mit

Neue Version Aktuell

changes.mady.by.user Natalie Henrich

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

Die folgende Liste enthält alle Sicherheitslücken die in den Workern auftreten können. Einige werden mit der baldigen Umstellung  auf Java 17 behoben werden.

CVE-2016-100002: Spring RCE: HttpInvokerServiceExporter

Die Schwachstelle kommt durch Spring Core in die jadice Produkte. Die CVE wurde schon vor über 2 Jahren gemeldet, wird aber wohl erst seit 11/2022 von einigen Dependency Checkern (SonarQube, ...) als Critical gemeldet.

→ Das grundsätzliche Problem ist, dass die Serialisierung des Java JDK unsicher ist. Spring Framework (Spring Core) bietet in Version 5.x den Spring HTTP Invoker an (welcher jedoch deprecated ist), der diese unsichere Java De-Serialisierung verwendet. Diese Klasse wird von jadice nicht verwendet, wodurch die Worker nicht von der Schwachstelle betroffen sind.

→ Weitere Informationen zur Sicherheitslücke

→ Betrifft nur Worker mit Java < 17 → Wird durch die baldige Umstellung auf Java 17 behoben!

CVE-2022-1471:  snakeyaml

Die CVEs kommen durch Spring Boot in die Worker. Der CVE kann theoretisch zur Remote Code Execution genutzt werden (RCE).

→ Betrifft nur Worker mit Java < 17 →  Wird durch die baldige Umstellung auf Java 17 behoben!

Weitere Informationen zur Sicherheitslücke

...

 

CVE-2023-25193 / CVE-2023-

...

45853 / CVE-2023-

...

45853: Debian

...

12 Image

Betroffen ist hier das Debian Image - libharfbuzz0b, libglib2.0-0, zlib1g und  libc6.

...

  • 12) :  Angreifer können O(n^2) growth über "consecutive marks" auszulösen
    • → Warten auf Fix

...

    • Version

...

    • in Debian 12 Paketquellen und aktualisiertes Image von gcr.io/distroless/

...

→ CVE-2023-29499: libglib2.0-0 (Debian 11):  GVariant offset table entry size is not checked in  is_normal()  → Durch Update auf Debian 12 behoben

...

...

  • 12): integer overflow and resultant heap-based buffer overflow in zipOpenNewFileInZip4_6
    • →   false positive,

...

...

...

...

  • libexpat1 (Debian 12):

...

CVE-2022-34169: xalan

Sicherheitslücke in Apache Xalan Java XSLT wenn bösartige XSLT-Stylesheets verarbeitet werden. Java Klassen, die vom XSLTC Compiler erstellt werden, können so beschädigt werden, dass beliebiger Java Bytecode ausgeführt werden kann.

→ Bibliothek wird in folgenden Worker Versionen abgelöst

Weitere Informationen zur Sicherheitslücke

CVE-2023-21930: openjdk-11-jre

Diese Sicherheitslücke ermöglicht es Angreifern über TLS Oracle Java zu kompromittieren.

Weitere Informationen zur Sicherheitslücke

CVE-2023-0464: libssl, openssl

...

  • allows a denial of service (resource consumption) because many full reparsings are required in the case of a large token for which multiple buffer fills are needed.
    • → Warten auf Fix Version in Debian 12 Paketquellen und aktualisiertes Image von gcr.io/distroless/java21-debian12


CVE-2023-39018:  net.bramp.ffmpeg 0.8.0

Die FFmpeg Version enthält eine "code injection vulnerability". Sie kann durch die Übergabe von ungeprüftem, schädlichen Argumenten ausgenutzt werden. Es wird auf eine Fix Version gewartet. Die Sicherheitslücke kann in den jadice flow Produkten nicht ausgenutzt werden. 

Weitere Informationen zur Sicherheitslücke


CVE-2023-

...

→ Warten auf Fix-Version

Weitere Informationen zur Sicherheitslücke

CVE-2023-6378: logback

...

36268:  org.libreoffice 24.2.3

Weitere Informationen zur Sicherheitslücke: cve-2023-6378  → Vendor Statement: https://logback.qos.ch/news.html#1.3.12



Betroffene Worker siehe: https://levigo.github.io/jadice-flow-documentation/docs/reference/workers

...