back to all blogsすべてのブログ投稿を表示

24.0.0.5におけるCVEと注目すべきバグ修正

image of author image of author
David Mueller and 西尾 実優香 (翻訳) 2024年5月21日
発表 , リリース ,
他言語版へのリンク: English ,

Open Liberty 24.0.0.5 では、CVE に対処するものを含むいくつかの重要なバグ修正が提供されています。Jakarta EE 11 など、現在開発中の機能にご興味がある場合は、最近の ベータ版ブログ記事 投稿をご覧ください。

In Open Liberty 24.0.0.5:

Open Liberty GAの過去のリリースブログ記事 もご参照ください。

24.0.0.5を使用したアプリの開発と実行

Mavenを使うときは以下のコードを pom.xml ファイルにインクルードしてください。

<plugin>
    <groupId>io.openliberty.tools</groupId>
    <artifactId>liberty-maven-plugin</artifactId>
    <version>3.10.3</version>
</plugin>

Gradleの場合は、build.gradle ファイルに以下をインクルードします。

buildscript {
    repositories {
        mavenCentral()
    }
    dependencies {
        classpath 'io.openliberty.tools:liberty-gradle-plugin:3.8.3'
    }
}
apply plugin: 'liberty'

コンテナ・イメージの場合はこちらです。

FROM icr.io/appcafe/open-liberty

ダウンロード・ページをご参照ください。

IntelliJ IDEA, Visual Studio CodeまたはEclipse IDEをお使いの場合は、IDE内で効率的な開発、テスト、デバッグ、アプリケーション管理を行うためのオープンソースLiberty開発者ツールをお試しください。

Stack Overflowで質問する

本リリースにおけるセキュリティ脆弱性 (CVE) の修正

CVE CVSSスコア 脆弱性評価 影響を受けるバージョン 修正されたバージョン ノート

CVE-2024-27268

5.9

Denial of service

18.0.0.2 - 24.0.0.4

24.0.0.5

servlet-3.1, servlet-4.0, servlet-5.0 および servlet-6.0 の機能に影響します

CVE-2024-22353

5.9

Denial of service

17.0.0.3 - 24.0.0.4

24.0.0.5

openidConnectClient-1.0socialLogin-1.0 の機能に影響します

CVE-2024-25026

5.9

Denial of service

17.0.0.3 - 24.0.0.4

24.0.0.5

servlet-3.1, servlet-4.0, servlet-5.0 および servlet-6.0 の機能に影響します

過去のセキュリティ脆弱性の修正のリストについては、 Security vulnerability (CVE) list をご参照ください。

主なバグ修正

以下のセクションでは、このリリースで修正したバグの一部について説明します。ご興味がある場合は、 full list of bugs fixed in 24.0.0.5 をご参照ください。

  • FeatureUtilityカスタム・リポジトリー接続の問題

    一部のシナリオでは、カスタム・リポジトリー (base URL) への FeatureUtility の接続テストで 400の応答コードが返され、動作中のリポジトリーとして認識されません。ユーザーがリポジトリー全体への適切にアクセスできないが、リポジトリー内の特定のアーティファクトにはアクセスできる場合があるため、Fail Fastとするのは適切ではありません。このような場合、応答コードは 400、403 などになります。

  • sipServlet-1.1 と WebSocket の間で報告された非互換性

    次の ClassCastException 例外は、 sipServlet-1.1 と WebSocket フィーチャーで発生します。

    java.lang.ClassCastException: com.ibm.wsspi.sip.converge.ConvergedHttpSessionContextImpl incompatible with com.ibm.ws.webcontainer31.session.IHttpSessionContext31 com.ibm.ws.wsoc.WebSocketServletContainerInitialize

  • FeatureUtilityは、ユーザー・リポジトリーに認証がない場合に警告を出力します

    ユーザーが認証なしで Maven リポジトリーを指定すると、 featureUtility コマンドはVerboseモードで次の警告を出力します。

    CWWKF1374E: The password is not encrypted. Password must be encrypted using the securityUtility command with the AES cryptography algorithm as the recommended --encoding option.

今すぐOpen Liberty 24.0.0.5を入手する

Gradle, Docker,ダウンロード可能なアーカイブからも入手可能です。