博客 Quarkus 3.2.10.Final 发布 - 维护性 LTS 版本

2024 年 1 月 26 日 #release

Quarkus 3.2.10.Final 发布 - 维护性 LTS 版本

作者:Alexey Loubyansky

Quarkus 3.2.10.Final,3.2 LTS 版本系列的第十个维护版本已发布。

此版本包含以下与安全相关的修复:

  • CVE-2023-5675 Quarkus RestEasy Reactive 和 Classic 中,当使用 "quarkus.security.jaxrs.deny-unannotated-endpoints" 或 "quarkus.security.jaxrs.default-roles-allowed" 属性时的授权缺陷

  • CVE-2023-6267 使用注解的 REST 资源时,JSON 载荷在安全检查前被处理

  • CVE-2023-4043 org.eclipse.parsson/parsson: 由于大数字解析导致的拒绝服务

  • CVE-2023-48795 apache-sshd: ssh: 对二进制包协议的 Prefix truncation 攻击

  • CVE-2023-22102 mysql-connector-java: Connector/J 未指定漏洞

  • RESTEASY-3380 RESTEasy 错误响应中暴露了源引用

以及以下组件升级:

  • Apache commons-compress 1.24.0 → 1.25.0

  • Apache SSHD 2.10.0 → 2.12.0

  • Eclipse Parsson 1.1.2 → 1.1.6

  • Hibernate ORM 6.2.13.Final → 6.2.18.Final

  • Hibernate Reactive 2.0.6.Final → 2.0.8.Final

  • Jandex 3.1.2 → 3.1.6

  • MySQL JDBC 驱动版本 8.0.30 → 8.2.0

  • RESTEasy 6.2.4.Final → 6.2.7.Final

  • SmallRye Reactive Messaging 4.6.0 → 4.6.1

如果您尚未开始使用 3.2 版本,请参考我们的迁移指南

已知问题包括:

对于已经在使用 3.2 版本的用户来说,这次升级应该是安全的。但是,一些用户可能会遇到以下几个问题。

使用 CDI 拦截器解析多租户 OIDC 配置因 3.2.10.Final 的安全修复而失败

Red Hat Quarkus 版本 3.2.10.Final 中为解决 CVE-2023-6267 而实施的安全修复引入了一个破坏性变更。

此破坏性变更仅在与 RestEasy Classic 结合使用多个 OIDC 提供商时相关,并且当您使用上下文和依赖注入 (CDI) 拦截器以编程方式解析 OIDC 租户配置标识符时会发生。

在此修复之前,CDI 拦截器在认证检查之前运行。引入修复后,认证会在触发 CDI 拦截器之前发生。因此,使用 CDI 拦截器解析多个 OIDC 提供商配置标识符将不再有效。RestEasy Reactive 应用程序不受影响。

解决方法:使用 quarkus.oidc.TenantResolver 方法来解析当前的 OIDC 配置租户 ID。

有关更多信息,请参阅 Quarkus“使用 OpenID Connect (OIDC) 多租户”指南的 使用注解解析租户标识符 部分。

MySQL JDBC 驱动 Maven 构件 groupId 和 artifactId 的更改

作为修复 CVE-2023-22102 的结果,quarkus-bom 中 MySQL JDBC 驱动的 groupId 和 artifactId 已从

      <dependency>
        <groupId>mysql</groupId>
        <artifactId>mysql-connector-java</artifactId>
        <version>8.0.30</version>
      </dependency>

更改为

      <dependency>
        <groupId>com.mysql</groupId>
        <artifactId>mysql-connector-j</artifactId>
        <version>8.2.0</version>
      </dependency>

作为 io.quarkus:quarkus-jdbc-mysql 依赖项的项目将不受此更改的影响。但是,那些直接依赖 mysql:mysql-connector-java 并依赖 quarkus-bom 来管理其版本的项目将需要将 groupId 和 artifactId 更新为上面提到的新值。

完整更新日志

您可以在 GitHub 上获取 3.2.10.Final 的完整变更日志

加入我们

我们非常重视您的反馈,所以请报告错误,提出改进建议…… 让我们一起构建伟大的东西!

如果您是 Quarkus 用户或只是好奇,请不要害羞,加入我们热情的社区

Quarkus 是开源的。本项目的所有依赖项均根据 Apache 软件许可证 2.0 或兼容许可证提供。 CC by 3.0

本网站使用 Jekyll 构建,托管在 GitHub Pages 上,并且完全开源。如果您想让它变得更好,请 fork 本网站 并向我们展示您的成果。

导航
关注我们
获取帮助
语言
Quarkus 由社区项目组成
版权所有 © Quarkus。保留所有权利。有关我们的商标详情,请访问我们的 商标政策商标列表。第三方商标归其各自所有者所有,此处提及并不暗示任何认可或关联。