Класс Camel-PQC FileBasedKeyLifecycleManager дезериализует содержимое файлов `<keyId>.key` в каталоге сконфигурированных ключей с помощью j…

Класс Camel-PQC FileBasedKeyLifecycleManager дезериализует содержимое файлов `<keyId>.key` в каталоге сконфигурированных ключей с помощью java.io.ObjectInputStream без применения каких-либо ограничений ObjectInputFilter или class-load. Отклон в «java.security.KeyPair`» оценивается только после того, как «readObject()` уже вернулся, поэтому любые «readObject()` побочные эффекты в дезериационном объекте запускаются до проверки типа. Злоумышленник, который может записать в каталог ключей, используемый приложением Camel, — например, через прохождение пути в каталог, неправильно настроенные разрешения файловой системы на томе, где хранятся ключи, скомпрометированном конвейере ключа или атаке на символическую линию, — может разместить созданный сериализированный объект Java, который при десериализации во время обычных операций жизненного цикла ключа приводит к произвольному исполнению кода в контексте приложения. Эта проблема затрагивает Apache Camel: от 4.19.0 до 4.20.0, от 4.18.0 до 4.18.2. Пользователям рекомендуется обновиться до версии 4.20.0, которая устраняет проблему, заменив java.io.ObjectInputStream на основе ключа и хранения метаданных на основе стандартного PKCS#8 (частный ключ) / X.509 SubjectPublicKeyInfo (открыточный ключ) Base64 JSON кодирования. Для пользователей на потоке выпусков 4,18.x LTS, обновите до 4.18.2.