DFN-CERT

Advisory-Archiv

2021-0031: Red Hat OpenShift Container Platform, Gorilla WebSocket: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff

Historie:

Version 1 (2021-01-07 11:25)
Neues Advisory
Version 2 (2021-01-20 09:56)
Für das 'compliance-operator'-Image für OpenShift Container Platform 4.6 steht ein Sicherheitsupdate bereit, mit dem die Schwachstelle in 'golang-github-gorilla-websocket' adressiert wird. Im zugehörigen Sicherheitshinweis werden zahlreiche weitere Schwachstellen erwähnt. Darüber hinaus wird die Schwachstelle durch ein Sicherheitsupdate für Container-native Virtualization (OpenShift Virtualization) auf Version 2.5.3 behoben. Auch hier werden zusätzliche Schwachstellen aufgeführt.
Version 3 (2021-02-25 12:09)
Für das 'file-integrity-operator'-Image für OpenShift Container Platform 4.7 für RHEL 8 (x86_64) steht ein Sicherheitsupdate bereit, mit dem die Schwachstelle in 'golang-github-gorilla-websocket' adressiert wird.
Version 4 (2021-03-26 09:31)
Red Hat stellt OpenShift Container Platform 3.11.404 als Sicherheitsupdate für Red Hat OpenShift Container Platform 3.11 auf Red Hat Enterprise Linux 7 zur Verfügung.
Version 5 (2021-05-25 14:05)
Red Hat stellt OpenShift Container Platform 4.7.12 als Sicherheitsupdate für Red Hat OpenShift Container Platform 4.7 auf Red Hat Enterprise Linux 8 zur Verfügung, um die Schwachstelle in 'golang-github-gorilla-websocket' zu beheben. Außerdem werden eine Reihe von Schwachstellen in abhängigen Paketen adressiert.
Version 6 (2023-05-15 08:48)
Für Debian 10 Buster (LTS) steht ein Sicherheitsupdate für 'golang-websocket' in Version 1.4.0-1+deb10u1 zur Behebung der Schwachstelle zur Verfügung.
Version 7 (2023-07-07 10:02)
Für Ubuntu 18.04 ESM und Ubuntu 16.04 ESM stehen Sicherheitsupdates für 'golang-websocket' bereit, um die Schwachstelle zu adressieren.

Betroffene Software

Netzwerk
Systemsoftware
Virtualisierung

Betroffene Plattformen

Linux
Container

Beschreibung:

Ein Angreifer kann eine Schwachstelle aus der Ferne ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate zur Behebung der Schwachstelle in 'golang-websocket' zur Verfügung.

Schwachstellen:

CVE-2020-27813

Schwachstelle in Gorilla WebSocket ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.