2020-2299: Red Hat OpenShift Container Platform: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2020-10-22 11:17)

Neues Advisory

Betroffene Software

Netzwerk
Virtualisierung

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen in verschiedenen Komponenten von Red Hat OpenShift Container Platform 4.3 ermöglichen einem entfernten Angreifer die Durchführung von Denial-of-Service (DoS)- und Cross-Site-Scripting (XSS)-Angriffen, das Ausführen beliebigen Programmcodes, das Umgehen von Sicherheitsvorkehrungen, das Ausspähen von Informationen und die Manipulation von Dateien. Mehrere weitere Schwachstellen ermöglichen einem entfernten Angreifer mit üblichen Benutzerrechten verschiedene Denial-of-Service (DoS)-Angriffe, die Manipulation von Dateien und darüber auch die vollständige Kompromittierung betroffener Systeme. Ein Angreifer im benachbarten Netzwerk kann einen Denial-of-Service (DoS)-Angriff durchführen und mit üblichen Benutzerrechten ebenfalls Denial-of-Service (DoS)-Angriffe durchführen und möglicherweise beliebigen Programmcode zur Ausführung bringen. Ein lokaler Angreifer kann einen weiteren Denial-of-Service (DoS)-Angriff durchführen und Sicherheitsvorkehrungen umgehen. Mit üblichen oder erweiterten Rechten kann der Angreifer beliebigen Programmcode zur Ausführung bringen, Informationen ausspähen, weitere Sicherheitsvorkehrungen umgehen, Dateien manipulieren und darüber möglicherweise betroffene Systeme kompromittieren. Ein Angreifer mit physischem Zugriff kann eine Schwachstelle für einen Denial-of-Service (DoS)-Angriff ausnutzen. Diese Art Angriff ist einem Angreifer mit physischem Zugriff in den meisten Fällen auch ohne Ausnutzung von Schwachstellen möglich. Erfolgreiche Angriffe können die Interaktion von Benutzern erfordern und Einfluss auf andere Komponenten betroffener Systeme haben.

Weitere Schwachstellen in 'jenkins-2-plugins' betreffen das Credentials Binding Plugin, das Matrix Project Plugin und das Matrix Authorization Strategy Plugin für Jenkins und ermöglichen einem entfernten Angreifer mit üblichen Benutzerrechten das Ausspähen von Informationen und verschiedene Cross-Site-Scripting (XSS)-Angriffe.

Für Red Hat OpenShift Container Platform 4.3 stehen Sicherheitsupdates auf Version 4.3.40 bereit um die Schwachstellen zu beheben. Die Schwachstellen in Plugins für Jenkins werden mit einem Update für 'jenkins-2-plugins' adressiert.

Schwachstellen:

CVE-2017-12652

Schwachstelle in libpng ermöglicht u. a. Denial-of-Service-Angriff

CVE-2017-18190

Schwachstelle in CUPS ermöglicht Privilegieneskalation

CVE-2018-20843

Schwachstelle in Expat ermöglicht Denial-of-Service-Angriff

CVE-2019-11068

Schwachstelle in libxslt ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2019-11719

Schwachstelle in Mozilla Firefox, Firefox ESR, NSS und Thunderbird ermöglicht Ausspähen von Informationen

CVE-2019-11727

Schwachstelle in Mozilla Firefox und Network Security Services (NSS) ermöglicht Umgehen von Sicherheitsrichtlinien

CVE-2019-11756

Schwachstelle in Mozilla Firefox ermöglicht u. a. Denial-of-Service-Angriff

CVE-2019-12450

Schwachstelle in GNOME GLib ermöglicht u. a. Manipulation von Dateien

CVE-2019-12749

Schwachstelle in D-Bus ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2019-14822

Schwachstelle in ibus ermöglicht u. a. Ausspähen von Informationen

CVE-2019-14866

Schwachstelle in GNU cpio ermöglicht Manipulation von Dateien

CVE-2019-14973

Schwachstelle in LibTIFF ermöglicht Denial-of-Service-Angriff

CVE-2019-15903

Schwachstelle in libexpat ermöglicht Denial-of-Service-Angriff

CVE-2019-16935

Schwachstelle in Python ermöglicht Cross-Site-Scripting-Angriff

CVE-2019-17006

Schwachstelle in Network Security Services (NSS) ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-17023

Schwachstelle in Mozilla Firefox ermöglicht Denial-of-Service-Angriff

CVE-2019-17498

Schwachstelle in libssh2 ermöglicht u. a. Denial-of-Service-Angriff

CVE-2019-17546

Schwachstelle in LibTIFF ermöglicht u. a. Denial-of-Service-Angriff

CVE-2019-18197

Schwachstelle in libxslt ermöglicht u. a. Denial-of-Service-Angriff

CVE-2019-19126

Schwachstelle in GNU Lib C ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2019-19956

Schwachstelle in LibXML2 ermöglicht Denial-of-Service-Angriff

CVE-2019-20386

Schwachstelle in systemd ermöglicht Denial-of-Service-Angriff

CVE-2019-20388

Schwachstelle in LibXML2 ermöglicht Denial-of-Service-Angriff

CVE-2019-2974

Schwachstelle in Oracle MySQL Server / MariaDB ermöglicht Denial-of-Service-Angriff

CVE-2019-5094

Schwachstelle in e2fsprogs ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-5188

Schwachstelle in e2fsprogs ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-5482

Schwachstelle in cURL ermöglicht u. a. Denial-of-Service-Angriff

CVE-2019-8675

Schwachstelle in CUPS ermöglicht u. a. Denial-of-Service-Angriff

CVE-2019-8696

Schwachstelle in CUPS ermöglicht u. a. Denial-of-Service-Angriff

CVE-2020-12243

Schwachstelle in OpenLDAP ermöglicht Denial-of-Service-Angriff

CVE-2020-12400

Schwachstelle in Network Security Services (NSS) ermöglicht Ausspähen von Informationen

CVE-2020-12401

Schwachstelle in Network Security Services (NSS) ermöglicht Ausspähen von Informationen

CVE-2020-12402

Schwachstelle in Network Security Services (NSS) ermöglicht Ausspähen von Informationen

CVE-2020-12403

Schwachstelle in Network Security Services (NSS) ermöglicht u. a. Ausspähen von Informationen

CVE-2020-12825

Schwachstelle in libcroco ermöglicht u. a. Denial-of-Service-Angriff

CVE-2020-14352

Schwachstelle in librepo ermöglicht Kompromittierung des Systems

CVE-2020-2181

Schwachstelle in Credentials Binding Plugin ermöglicht Ausspähen von Informationen

CVE-2020-2182

Schwachstelle in Credentials Binding Plugin ermöglicht Ausspähen von Informationen

CVE-2020-2224

Schwachstelle in Matrix Project Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-2225

Schwachstelle in Matrix Project Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-2226

Schwachstelle in Matrix Authorization Strategy Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-24750

Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-2574

Schwachstelle in Oracle MySQL Client ermöglicht Denial-of-Service-Angriff

CVE-2020-2752

Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-Angriff

CVE-2020-2780

Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-Angriff

CVE-2020-2812

Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-Angriff

CVE-2020-6829

Schwachstelle in Network Security Services (NSS) ermöglicht Ausspähen von Informationen

CVE-2020-7595

Schwachstelle in LibXML2 ermöglicht Denial-of-Service-Angriff

CVE-2020-8492

Schwachstelle in Python ermöglicht Denial-of-Service-Angriff

CVE-2020-9283

Schwachstelle in Google Go (golang) ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.