Vulnérabilités et expositions communes corrigées — ODP 1.3.1.0
Politique de suivi des CVE
Clemlab surveille activement la National Vulnerability Database (NVD) et les avis de sécurité des projets Apache en amont afin d'identifier les CVE (Common Vulnerabilities and Exposures) affectant les composants livrés avec ODP. Lorsqu'une CVE est confirmée comme affectant un composant ODP, elle est analysée et traitée dans la prochaine version de maintenance ou mineure disponible.
Les corrections de CVE sont suivies dans le gestionnaire de tickets GitHub de Clemlab avec une référence au ticket amont et à l'identifiant CVE. Les utilisateurs sont encouragés à s'abonner aux notifications de versions pour rester informés des mises à jour de sécurité.
Améliorations de sécurit�é dans ODP 1.3.1.0
Migration vers Log4j2 (Oozie)
ODP 1.3.1.0 inclut la migration d'Apache Oozie de Log4j 1.x vers Log4j 2.x, corrigeant une classe de vulnérabilités associées à la bibliothèque Log4j 1.x héritée, qui a atteint sa fin de vie et ne reçoit plus de correctifs de sécurité.
Cette migration a été réalisée via les JIRAs Oozie en amont suivants :
| Ticket | Description |
|---|---|
| OOZIE-3135 | Migration de la journalisation du serveur Oozie de Log4j 1.x vers Log4j 2.x |
| OOZIE-3137 | Mise à jour du client Oozie et des outils pour utiliser Log4j 2.x |
Après la mise à niveau vers ODP 1.3.1.0, vérifiez votre configuration oozie-log4j2 dans Ambari pour vous assurer que les appenders ou niveaux de journalisation personnalisés sont correctement migrés vers le format Log4j 2.x.
Tableau des CVE corrigées
Le tableau suivant liste les CVE traitées dans ODP 1.3.1.0. Des CVE supplémentaires seront documentées ici au fur et à mesure qu'elles seront confirmées et vérifiées par Clemlab.
| Identifiant CVE | Sévérité | Composant | Description | Version de correction |
|---|---|---|---|---|
| (des CVE supplémentaires seront listées ici une fois confirmées) | — | — | — | — |
Ce tableau est mis à jour au mieux de nos possibilités. Pour les informations de sécurité les plus récentes, consultez les pages de sécurité des projets Apache en amont et le dépôt GitHub de Clemlab.