发布 Quarkus 2.14.2.Final 和 2.13.5.Final - 修复 CVE-2022-4116
今天,我们宣布发布 Quarkus 2.14.2.Final 和 Quarkus 2.13.5.Final。
这两个版本都修复了 CVE-2022-4116,该漏洞被评为高危。
此修复还加强了 CORS 处理,包括将 CORS 请求因无效的 origin 被拒绝时,将 200 OK 更改为 403 FORBIDDEN。
强烈建议升级到这些新版本
-
2.14.2.Final 包含此修复和其他一些修复
-
2.13.5.Final 针对 2.13 分支,并且仅包含此修复
Red Hat Build of Quarkus 用户应更新至 最新的 2.7.6.Final-redhat-00012。
关于 CVE-2022-4116
CVE-2022-4116 是我们 Dev UI 中的一个漏洞,如果用户在 Dev UI 运行时访问一个精心构造的网页,可能会导致执行运行 Dev UI 的机器上的远程代码。
虽然它只影响开发模式,但影响仍然很高,因为它可能导致攻击者获得对您开发机器的本地访问权限。
Constrast Security 的 Joseph Beeton 在 这篇博客文章中详细解释了该问题。
缓解措施
缓解此问题的最简单方法是升级到 2.14.2.Final 或 2.13.5.Final。
如果您暂时无法升级,一个可能的解决方法是通过将所有非应用程序端点移到一个随机的根目录来为 Quarkus Dev UI 使用一个随机路径
%dev.quarkus.http.non-application-root-path=<your random string>然后可以通过以下 URL 访问 Dev UI:https://:8080/<your 随机字符串>/dev/。
请注意,这也影响了其他非应用程序端点,例如健康检查端点(但在开发模式下,因为我们使用了 dev profile)。
完整更新日志
您可以在 GitHub 上获取 2.14.2.Final 的完整变更日志和 2.13.5.Final 的变更日志。
加入我们
我们非常重视您的反馈,所以请报告错误,提出改进建议…… 让我们一起构建伟大的东西!
如果您是 Quarkus 用户或只是好奇,请不要害羞,加入我们热情的社区
-
在 GitHub 上提供反馈;
-
编写一些代码并 推送 PR;
-
在 Stack Overflow 上提问。
