Zum Ende der Metadaten springen
Zum Anfang der Metadaten

Sie zeigen eine alte Version dieser Seite an. Zeigen Sie die aktuelle Version an.

Unterschiede anzeigen Seitenhistorie anzeigen

Version 1 Nächste Version anzeigen »

Die folgende Liste enthält alle Sicherheitslücken die in den Workern auftreten können. Einige werden mit der baldigen Umstellung  auf Java 17 behoben werden.

CVE-2016-100002: Spring RCE: HttpInvokerServiceExporter

Die Schwachstelle kommt durch Spring Core in die jadice Produkte. Die CVE wurde schon vor über 2 Jahren gemeldet, wird aber wohl erst seit 11/2022 von einigen Dependency Checkern (SonarQube, ...) als Critical gemeldet.

→ Das grundsätzliche Problem ist, dass die Serialisierung des Java JDK unsicher ist. Spring Framework (Spring Core) bietet in Version 5.x den Spring HTTP Invoker an (welcher jedoch deprecated ist), der diese unsichere Java De-Serialisierung verwendet. Diese Klasse wird von jadice nicht verwendet, wodurch die Worker nicht von der Schwachstelle betroffen sind.

→ Weitere Informationen zur Sicherheitslücke

→ Betrifft nur Worker mit Java < 17 → Wird durch die baldige Umstellung auf Java 17 behoben!

CVE-2022-1471:  snakeyaml

Die CVEs kommen durch Spring Boot in die Worker. Der CVE kann theoretisch zur Remote Code Execution genutzt werden (RCE).

→ Betrifft nur Worker mit Java < 17 →  Wird durch die baldige Umstellung auf Java 17 behoben!

Weitere Informationen zur Sicherheitslücke

CVE-2023-25193 / CVE-2023-29499 / CVE-2023-4911 / CVE-2023-45853: Debian 11 und 12 Image

Betroffen ist hier das Debian Image - libharfbuzz0b, libglib2.0-0, zlib1g und  libc6.

CVE-2023-25193: libharfbuzz0b (Debian 11) :  Angreifer können O(n^2) growth über "consecutive marks" auszulösen → Warten auf Fix-Version und neues Base Image  gcr.io/distroless/java11-debian11

→ CVE-2023-29499: libglib2.0-0 (Debian 11):  GVariant offset table entry size is not checked in  is_normal()  → Durch Update auf Debian 12 behoben

→ CVE-2023-45853: zlib1g (Debian 11): integer overflow and resultant heap-based buffer overflow in zipOpenNewFileInZip4_6 →   false positive, vulnerability is in MiniZip → see https://github.com/madler/zlib/issues/868

→ CVE-2023-4911: libc6 (Debian 12): potential use-after-free in getaddrinfo() → Warten auf aktualisierten Container

CVE-2022-34169: xalan

Sicherheitslücke in Apache Xalan Java XSLT wenn bösartige XSLT-Stylesheets verarbeitet werden. Java Klassen, die vom XSLTC Compiler erstellt werden, können so beschädigt werden, dass beliebiger Java Bytecode ausgeführt werden kann.

→ Bibliothek wird in folgenden Worker Versionen abgelöst

Weitere Informationen zur Sicherheitslücke

CVE-2023-21930: openjdk-11-jre

Diese Sicherheitslücke ermöglicht es Angreifern über TLS Oracle Java zu kompromittieren.

Weitere Informationen zur Sicherheitslücke

CVE-2023-0464: libssl, openssl

Sicherheitslücke in allen Versionen von OpenSSL. Es ist möglich eine bösartige cerificate chain zu erstellen, die zu einen Denial-of-Service (DoS) Angriff führen kann.

Weitere Informationen zur Sicherheitslücke

CVE-2023-5363: alpine (im worker-pandoc)

→ Warten auf Fix-Version

Weitere Informationen zur Sicherheitslücke


Betroffene Worker siehe: https://levigo.github.io/jadice-flow-documentation/docs/reference/workers



  • Keine Stichwörter