2019-0915: Red Hat Openshift: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2019-05-08 18:05)
- Neues Advisory
- Version 2 (2019-06-11 13:14)
- Für Red Hat Openshift Container Platform 3.11 steht ein Sicherheitsupdate 'atomic-openshift-web-console' zur Behebung der Schwachstelle CVE-2019-0542 in 'xterm.js' bereit.
- Version 3 (2019-08-22 16:32)
- Für Red Hat Openshift Container Platform 3.10 steht ein Sicherheitsupdate 'atomic-openshift-web-console' zur Behebung der Schwachstelle CVE-2019-0542 in 'xterm.js' bereit.
- Version 4 (2019-09-05 13:45)
- Für die Red Hat Openshift Container Platform 3.9 steht ein Sicherheitsupdate 'atomic-openshift-web-console' zur Verfügung, um die Schwachstelle CVE-2019-0542 in 'xterm.js' zu beheben.
Betroffene Software
Entwicklung
Netzwerk
Server
Sicherheit
Systemsoftware
Betroffene Plattformen
Linux
Beschreibung:
Es existieren mehrere Schwachstellen in Apache HTTP Server, jackson-databind, Java SE, Linux-Kernel, mod_auth_mellon, Python und Xterm, die auch für Red Hat OpenShift relevant sind. Die Schwachstellen ermöglichen einem zumeist entfernten, nicht authentisierten Angreifer das Ausführen beliebigen Programmcodes (Apache HTTP Server, jackson-databind, Xterm), die komplette Kompromittierung der Software (Java SE), die Manipulation von Daten (Java SE), das Ausspähen von Informationen (jackson-databind, Python), das Umgehen von Sicherheitsvorkehrungen (mod_auth_mellon), einen Server-Side-Request-Forgery-Angriff (jackson-databind), verschiedene Denial-of-Service (DoS)-Angriffe (Java SE, Linux-Kernel) und möglicherweise das Erlangen privilegierten Zugriffs auf ein betroffenes System (Linux-Kernel).
Red Hat stellt das Red Hat OpenShift Container Platform Release 3.11.98 als Sicherheitsupdate zur Behebung der Schwachstellen bereit.
Schwachstellen:
CVE-2018-11307
Schwachstelle in jackson-databind ermöglicht Ausspähen von InformationenCVE-2018-12022
Schwachstelle in jackson-databind ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-12023
Schwachstelle in jackson-databind ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-14718
Schwachstelle in jackson-databind ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-14719
Schwachstelle in jackson-databind ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-14720
Schwachstelle in jackson-databind ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-14721
Schwachstelle in jackson-databind ermöglicht Server-Side-Request-Forgery-AngriffCVE-2018-19360
Schwachstelle in jackson-databind ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-19361
Schwachstelle in jackson-databind ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-19362
Schwachstelle in jackson-databind ermöglicht Ausführung beliebigen ProgrammcodesCVE-2019-0211
Schwachstelle in Apache HTTP Server ermöglicht Ausführen beliebigen ProgrammcodesCVE-2019-0542
Schwachstelle in Xterm.js ermöglicht Ausführung beliebigen ProgrammcodesCVE-2019-2602
Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Denial-of-Service-AngriffCVE-2019-2684
Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Manipulation von DatenCVE-2019-2698
Schwachstelle in Oracle Java SE ermöglicht Kompromittierung der SoftwareCVE-2019-3878
Schwachstelle in mod_auth_mellon ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2019-6974
Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-AngriffCVE-2019-7221
Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-AngriffCVE-2019-9636
Schwachstelle in Python ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.