Die folgende Liste enthält alle Sicherheitslücken die in den Workern auftreten können.
CVE-2023-25193 / CVE-2023-45853 / CVE-2023-45853: Debian 12 Image
Betroffen ist hier das Debian Image - libharfbuzz0b, libglib2.0-0, zlib1g.
- CVE-2023-25193: libharfbuzz0b (Debian 12) : Angreifer können O(n^2) growth über "consecutive marks" auszulösen
- → Warten auf Fix Version in Debian 12 Paketquellen und aktualisiertes Image von gcr.io/distroless/java21-debian12
- CVE-2023-45853: zlib1g (Debian 12): integer overflow and resultant heap-based buffer overflow in zipOpenNewFileInZip4_6
- → false positive, die Schwachstelle steckt in eiben Code-Beispiel von MiniZip. Siehe see https://github.com/madler/zlib/issues/868
- CVE-2023-52425: libexpat1 (Debian 12): allows a denial of service (resource consumption) because many full reparsings are required in the case of a large token for which multiple buffer fills are needed.
- → Warten auf Fix Version in Debian 12 Paketquellen und aktualisiertes Image von gcr.io/distroless/java21-debian12
Betroffene Worker siehe: https://levigo.github.io/jadice-flow-documentation/docs/reference/workers