Informationen zu CVEs in jadice flow
- Natalie Henrich (Unlicensed)
- Natalie Henrich
- Simon Welsch
- David Werth
Owned by Natalie Henrich (Unlicensed)
Die folgende Liste enthält alle Sicherheitslücken die in den Workern auftreten können.
CVE-2023-25193 / CVE-2023-45853 / CVE-2023-45853: Debian 12 Image
Betroffen ist hier das Debian Image - libharfbuzz0b, libglib2.0-0, zlib1g.
- CVE-2023-25193: libharfbuzz0b (Debian 12) : Angreifer können O(n^2) growth über "consecutive marks" auszulösen
- → Warten auf Fix Version in Debian 12 Paketquellen und aktualisiertes Image von gcr.io/distroless/java21-debian12
- CVE-2023-45853: zlib1g (Debian 12): integer overflow and resultant heap-based buffer overflow in zipOpenNewFileInZip4_6
- → false positive, die Schwachstelle steckt in eiben Code-Beispiel von MiniZip. Siehe see https://github.com/madler/zlib/issues/868
- CVE-2023-52425: libexpat1 (Debian 12): allows a denial of service (resource consumption) because many full reparsings are required in the case of a large token for which multiple buffer fills are needed.
- → Warten auf Fix Version in Debian 12 Paketquellen und aktualisiertes Image von gcr.io/distroless/java21-debian12
CVE-2023-39018: net.bramp.ffmpeg 0.8.0
Die FFmpeg Version enthält eine "code injection vulnerability". Sie kann durch die Übergabe von ungeprüftem, schädlichen Argumenten ausgenutzt werden. Es wird auf eine Fix Version gewartet. Die Sicherheitslücke kann in den jadice flow Produkten nicht ausgenutzt werden.
→ Weitere Informationen zur Sicherheitslücke
CVE-2023-36268: org.libreoffice 24.2.3
→ Weitere Informationen zur Sicherheitslücke
Betroffene Worker siehe: https://levigo.github.io/jadice-flow-documentation/docs/reference/workers