Die folgende Liste enthält alle Sicherheitslücken die in den Workern auftreten können. Einige werden mit der baldigen Umstellung auf Java 17 behoben werden.
CVE-2016-100002: Spring RCE: HttpInvokerServiceExporter
Die Schwachstelle kommt durch Spring Core in die jadice Produkte. Die CVE wurde schon vor über 2 Jahren gemeldet, wird aber wohl erst seit 11/2022 von einigen Dependency Checkern (SonarQube, ...) als Critical gemeldet.
→ Das grundsätzliche Problem ist, dass die Serialisierung des Java JDK unsicher ist. Spring Framework (Spring Core) bietet in Version 5.x den Spring HTTP Invoker an (welcher jedoch deprecated ist), der diese unsichere Java De-Serialisierung verwendet. Diese Klasse wird von jadice nicht verwendet, wodurch die Worker nicht von der Schwachstelle betroffen sind.
→ Weitere Informationen zur Sicherheitslücke
→ Betrifft nur Worker mit Java < 17 → Wird durch die baldige Umstellung auf Java 17 behoben!
CVE-2022-1471: snakeyaml
Die CVEs kommen durch Spring Boot in die Worker. Der CVE kann theoretisch zur Remote Code Execution genutzt werden (RCE).
→ Betrifft nur Worker mit Java < 17 → Wird durch die baldige Umstellung auf Java 17 behoben!
→ Weitere Informationen zur Sicherheitslücke
CVE-2023-25193 / CVE-2023-29499 / CVE-2023-4911 / CVE-2023-45853: Debian 11 und 12 Image
Betroffen ist hier das Debian Image - libharfbuzz0b, libglib2.0-0, zlib1g und libc6.
→ CVE-2023-25193: libharfbuzz0b (Debian 11) : Angreifer können O(n^2) growth über "consecutive marks" auszulösen → Warten auf Fix-Version und neues Base Image gcr.io/distroless/java11-debian11
→ CVE-2023-29499: libglib2.0-0 (Debian 11): GVariant offset table entry size is not checked in is_normal() → Durch Update auf Debian 12 behoben
→ CVE-2023-45853: zlib1g (Debian 11): integer overflow and resultant heap-based buffer overflow in zipOpenNewFileInZip4_6 → false positive, vulnerability is in MiniZip → see https://github.com/madler/zlib/issues/868
→ CVE-2023-4911: libc6 (Debian 12): potential use-after-free in getaddrinfo() → Warten auf aktualisierten Container
CVE-2022-34169: xalan
Sicherheitslücke in Apache Xalan Java XSLT wenn bösartige XSLT-Stylesheets verarbeitet werden. Java Klassen, die vom XSLTC Compiler erstellt werden, können so beschädigt werden, dass beliebiger Java Bytecode ausgeführt werden kann.
→ Bibliothek wird in folgenden Worker Versionen abgelöst
→ Weitere Informationen zur Sicherheitslücke
CVE-2023-21930: openjdk-11-jre
Diese Sicherheitslücke ermöglicht es Angreifern über TLS Oracle Java zu kompromittieren.
→ Weitere Informationen zur Sicherheitslücke
CVE-2023-0464: libssl, openssl
Sicherheitslücke in allen Versionen von OpenSSL. Es ist möglich eine bösartige cerificate chain zu erstellen, die zu einen Denial-of-Service (DoS) Angriff führen kann.
→ Weitere Informationen zur Sicherheitslücke
CVE-2023-5363: alpine (im worker-pandoc)
→ Warten auf Fix-Version
→ Weitere Informationen zur Sicherheitslücke
CVE-2023-6378: logback
Diese Schwachstelle setzt voraus, dass der Logback-Receiver aktiviert und für einen Angreifer erreichbar ist. Beides ist in jadice flow nicht gegeben.
→ Weitere Informationen zur Sicherheitslücke: cve-2023-6378
→ Vendor Statement: https://logback.qos.ch/news.html#1.3.12
CVE-2024-22243, CVE-2024-22259, CVE-2024-22262: Spring Framework URL Parsing with Host Validation
Diese Schwachstelle setzt voraus, dass der UriComponentsBuilder
verwendet wird und eine damit geparste URL validiert wird. Beides ist in jadice flow nicht gegeben.
→ weitere Informationen: cve-2024-22243, cve-2024-22259, cve-2024-22262
Betroffene Worker siehe: https://levigo.github.io/jadice-flow-documentation/docs/reference/workers