Quarkus 3.2.12.Final 发布 - 维护性 LTS 发布
Quarkus 3.2.12.Final,3.2 LTS 发布系列的第十一版维护性更新已发布。
此版本包含以下与安全相关的修复:
-
CVE-2024-2700 io.quarkus/quarkus-core: 本地配置属性泄露到 Quarkus 应用程序
-
CVE-2024-29025 io.netty/netty-codec-http: 无限制或节流的资源分配
-
CVE-2023-51775 org.bitbucket.b_c/jose4j: 通过专门构造的 JWE 进行 DoS 攻击
以及以下组件升级:
-
Apache Mime4J 0.8.9 → 0.8.11
-
Jose4J 0.9.3 → 0.9.6
-
Netty 4.1.100.Final → 4.1.108.Final
-
Netty tcnative 2.0.61.Final → 2.0.65.Final
-
Vert.x 4.4.8 → 4.4.9
-
com.dajudge.kindcontainer:kindcontainer 1.3.0 → 1.4.5
如果您尚未开始使用 3.2 版本,请参考我们的迁移指南。
已知问题包括:
对于已经在使用 3.2.11.Final 版本的用户来说,这次升级应该是安全的。但是,CVE-2024-2700 的修复引入了构建时配置选项重写方式的更改,应予以考虑。更具体地说,来自被视为本地的配置源(在构建时可用但在运行时不可用的源,例如环境变量、系统属性、Maven 和 Gradle 项目属性)的属性将不会覆盖运行时配置属性的默认值。这样做是为了避免将本地环境值泄露到生产构建中。
加入我们
我们非常重视您的反馈,所以请报告错误,提出改进建议…… 让我们一起构建伟大的东西!
如果您是 Quarkus 用户或只是好奇,请不要害羞,加入我们热情的社区
-
在 GitHub 上提供反馈;
-
编写一些代码并 推送 PR;
-
在 Stack Overflow 上提问。
