2018-2462: Red Hat OpenShift: Mehrere Schwachstellen ermöglichen u. a. eine Privilegieneskalation
Historie:
- Version 1 (2018-12-04 13:52)
- Neues Advisory
Betroffene Software
Entwicklung
Netzwerk
Betroffene Plattformen
Linux
Beschreibung:
Eine Schwachstelle in Kubernetes ermöglicht einem entfernten, nicht authentisierten Angreifer die Kompromittierung zugrundeliegender Kubernetes-'pods'. Ab OpenShift Version 3.6 und neueren ermöglicht die Schwachstelle die Eskalation von Privilegien bis hin zu 'cluster-admin'-Privilegien, wodurch der Angreifer auf beliebige APIs zugreifen kann, die von verbundenen API-Servern bereitgestellt werden.
Für Red Hat OpenShift Container Platform stehen Sicherheitsupdates in Form der Versionen 3.11.43, 3.10.72, 3.9.51, 3.8.44, 3.7.72, 3.6.173, 3.5.5.31, 3.4.1.44, 3.3.1.46 und 3.2.1.34 zur Behebung der Schwachstelle CVE-2018-1002105 bereit. Red Hat stuft die Schwachstelle als 'critical' (kritisch) ein und hat eine Warnmeldung verfasst (siehe Schwachstellenbeschreibung und -warnung CVE-2018-1002105). Nutzern wird empfohlen unverzüglich ein geeignetes Sicherheitsupdate zu installieren.
Das Sicherheitsupdate für OpenShift Platform 3.11 behebt zusätzlich die Schwachstellen CVE-2018-3830 und CVE-2018-12115. Die Schwachstellen ermöglichen dem entfernten, nicht authentisierten Angreifer einen Cross-Site-Scripting (XSS)-Angriff (CVE-2018-3830) sowie einen Denial-of-Service (DoS)-Angriff (CVE-2018-12115). Die Sicherheitsupdates für OpenShift Platform 3.9 und 3.7 beheben zusätzlich CVE-2018-14632. Die Schwachstelle ermöglicht dem Angreifer einen weiteren Denial-of-Service-Angriff.
Schwachstellen:
CVE-2018-1002105
Schwachstelle in Kubernetes ermöglicht PrivilegieneskalationCVE-2018-12115
Schwachstelle in Node.js ermöglicht u. a. Denial-of-Service-AngriffCVE-2018-14632
Schwachstelle in OpenShift Container Platform ermöglicht Denial-of-Service-AngriffCVE-2018-3830
Schwachstelle in Kibana ermöglicht Cross-Site-Scripting-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.