2020-2330: Red Hat Satellite: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2020-10-28 13:35)

Neues Advisory

Betroffene Software

Netzwerk
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen, Sicherheitsvorkehrungen zu umgehen, eine Systemkomponente zu übernehmen, Benutzerrechte zu erlangen, HTTP-Request-Smuggling-, Denial-of-Service (DoS)- und Cross-Site-Scripting (XSS)-Angriffe durchzuführen, Informationen auszuspähen eine Browser-Sitzung zu übernehmen, Dateien zu manipulieren und falsche Informationen darzustellen. Ein Angreifer kann eine weitere Schwachstelle im benachbarten Netzwerk ausnutzen, um Sicherheitsvorkehrungen zu umgehen. Darüber hinaus kann eine Schwachstelle lokal ausgenutzt werden, um ein System zu übernehmen. Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung einiger Schwachstellen kann Einfluss auf andere Komponenten haben.

Red Hat stellt für Red Hat Satellite 6.8 und Red Hat Satellite Capsule 6.8 auf Red Hat Enterprise Linux 7 Sicherheitsupdates zur Behebung der Schwachstellen bereit. Mit den Updates werden zahlreiche weitere Programmfehler behoben.

Schwachstellen:

CVE-2018-11751

Schwachstelle in Puppet Agent ermöglicht u. a. Umgehen von Sicherheitsvorkehrungen

CVE-2018-3258

Schwachstelle in Oracle MySQL Connectors ermöglicht Übernahme der Systemkomponente

CVE-2019-12781

Schwachstelle in Django ermöglicht Darstellung falscher Informationen

CVE-2019-16782

Schwachstelle in rubygem-rack ermöglicht u. a. Ausspähen von Informationen

CVE-2020-10693

Schwachstelle in Hibernate Validator ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-10968

Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-10969

Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-11619

Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-14061

Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-14062

Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-14195

Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-14334

Schwachstelle in Foreman ermöglicht Systemübernahme

CVE-2020-14380

Schwachstelle in Satellite ermöglicht Erlangen von Benutzerrechten

CVE-2020-5216

Schwachstelle in Secure Headers ermöglicht Manipulation von Dateien

CVE-2020-5217

Schwachstelle in Secure Headers ermöglicht Manipulation von Dateien

CVE-2020-5267

Schwachstelle in ActionView ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-7238

Schwachstelle in Netty ermöglicht HTTP-Request-Smuggling-Angriff

CVE-2020-7663

Schwachstelle in websocket-extensions ermöglicht Denial-of-Service-Angriff

CVE-2020-7942

Schwachstelle in Puppet ermöglicht Ausspähen von Informationen

CVE-2020-7943

Schwachstelle in Puppet Server und PuppetDB ermöglicht Ausspähen von Informationen

CVE-2020-8161

Schwachstelle in rubygem-rack ermöglicht Ausspähen von Informationen

CVE-2020-8184

Schwachstelle in rubygem-rack ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-8840

Schwachstelle in jackson-databind ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-9546

Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-9547

Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-9548

Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.