The English version of quarkus.io is the official project site. Translated sites are community supported on a best-effort basis.

Quarkus 2.10.3.Final リリース - CVE-2022-2466を修正

2.10.0.CR1 では、SmallRye GraphQL サーバーエクステンションに CVE-2022-2466 という重大なセキュリティ問題があり、すべての 2.10.x リリースが影響を受けます (2.11.0.CR1 と合わせて)。2.10.3.Finalではこの問題が修正されており、次期2.11.0.Finalにもこの修正が含まれる予定です。この問題の影響を受けるのは、GraphQL サービスを公開している場合のみです。

リクエストのコンテキストが適切に終了せず、与えられたスレッドに対して、それ以降のすべてのリクエストは、そのスレッドが処理した最初のリクエストのコンテキストを使用することになります。GraphQL サービスで認証が必要な場合、コンテキストには認証が含まれます。

これは非常に深刻な問題ですので、すでに 2.10.x にアップグレードして GraphQL サービスを公開している方は、2.10.3.Final にアップグレードすることを強くお勧めします。

なお、2.9以前のバージョンでは、この問題の影響はありません。

このバージョンでは、いくつかのマイナーな追加修正も含まれています。

まだ2.10をお使いでない方は、https://github.com/quarkusio/quarkus/wiki/Migration-Guide-2.10[2.10移行ガイド]をご参照ください。

完全な変更履歴

GitHubに2.10.3.Finalの完全な変更履歴は掲載されています。

参加のお誘い

私達は皆様からのフィードバックに重きを置いています。バグ報告、改善要望を是非お願いします。一緒に素晴らしいものを作り上げていきましょう!

Quarkusユーザーの場合でも、単に興味を持っているだけの場合でも、恥ずかしがらずにコミュニティに参加して下さい!: