2020-1506: Red Hat OpenShift Container Platform: Mehrere Schwachstellen ermöglichen u. a. Denial-of-Service-Angriffe
Historie:
- Version 1 (2020-07-14 12:29)
- Neues Advisory
- Version 2 (2020-07-24 16:31)
- Red Hat hat seinen Sicherheitshinweis aktualisiert und informiert darüber, dass die Schwachstelle CVE-2019-11252 ebenfalls behoben wurde. Diese ermöglicht einem entfernten Angreifer mit üblichen Benutzerrechten, Informationen auszuspähen.
Betroffene Software
Netzwerk
Virtualisierung
Betroffene Plattformen
Linux
Beschreibung:
Mehrere Schwachstellen in verschiedenen Komponenten der OpenShift Container Platform ermöglichen einem entfernten Angreifer, der in mehreren Fällen über übliche Benutzerrechte verfügt, die Durchführung von Denial-of-Service (DoS)-Angriffen, das Ausführen beliebigen Programmcodes, das Ausspähen von Informationen und einen Cross-Site-Scripting (XSS)-Angriff. Einige dieser Angriffe erfordern die Interaktion eines Benutzers und können Einfluss auf weitere Komponenten betroffener Systeme haben. Eine weitere Schwachstelle ermöglicht einem Angreifer im benachbarten Netzwerk das Eskalieren von Privilegien und das Ausspähen von Informationen.
Red Hat veröffentlicht im Rahmen der in Kürze anstehenden Aktualisierung der OpenShift Container Platform auf die Version 4.5.1 aktualisierte Pakete zur Behebung der jeweiligen Schwachstellen als Sicherheitsupdates für Red Hat Enterprise Linux 7 (x86_64) und 8 (x86_64).
Schwachstellen:
CVE-2019-11252
Schwachstelle in Kubernetes ermöglicht Ausspähen von InformationenCVE-2019-11254
Schwachstelle in Kubernetes ermöglicht Denial-of-Service-AngriffCVE-2019-11358
Schwachstelle in jQuery ermöglicht Cross-Site-Scripting-AngriffCVE-2020-10749
Schwachstelle in containernetworking/plugins ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-11022
Schwachstelle in jQuery ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-11023
Schwachstelle in jQuery ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-8558
Schwachstelle in Kubernetes ermöglicht u. a. PrivilegieneskalationCVE-2020-9283
Schwachstelle in Google Go (golang) ermöglicht Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.