2021-0120: Red Hat OpenShift Container Platform: Mehrere Schwachstellen ermöglichen u. a. einen Denial-of-Service-Angriff

Historie:

Version 1 (2021-01-19 12:12)

Neues Advisory

Betroffene Software

Netzwerk
Virtualisierung

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode mit den Rechten des angemeldeten Benutzers auszuführen, XML-External-Entity (XXE)- und Denial-of-Service (DoS)-Angriffe sowie nicht spezifizierte Angriffe durchzuführen. Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Zwei Schwachstellen erfordern die Interaktion eines Benutzers. Zudem kann ein Angreifer mit niedrigen Privilegien eine Schwachstelle lokal ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für Red Hat Enterprise Linux 7 (x86_64) und 8 (x86_64) stehen aktualisierte 'jenkins-2-plugins'-, 'golang'- sowie 'kubernetes'-Pakete für die in Kürze anstehende Aktualisierung der Red Hat OpenShift Container Platform 4.6 auf Version 4.6.12 zur Behebung der Schwachstellen zur Verfügung.

Schwachstellen:

CVE-2020-13249

Schwachstelle in MariaDB Connector/C ermöglicht nicht näher spezifizierten Angriff

CVE-2020-1971

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2020-2304

Schwachstelle in Subversion Plugin ermöglicht XML-External-Entity-Angriff

CVE-2020-2305

Schwachstelle in Mercurial Plugin ermöglicht XML-External-Entity-Angriff

CVE-2020-2306

Schwachstelle in Mercurial Plugin ermöglicht Ausspähen von Informationen

CVE-2020-2307

Schwachstelle in Kubernetes Plugin ermöglicht Ausspähen von Informationen

CVE-2020-2308

Schwachstelle in Kubernetes Plugin ermöglicht Ausspähen von Informationen

CVE-2020-2309

Schwachstelle in Kubernetes Plugin ermöglicht Ausspähen von Informationen

CVE-2020-25641

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2020-25694

Schwachstelle in PostgreSQL ermöglicht Man-in-the-Middle-Angriff

CVE-2020-25696

Schwachstelle in PostgreSQL ermöglicht Ausführen beliebigen Programmcodes mit Benutzerrechten

CVE-2020-2574

Schwachstelle in Oracle MySQL Client ermöglicht Denial-of-Service-Angriff

CVE-2020-2752

Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-Angriff

CVE-2020-28362

Schwachstellen in Google Go (golang) ermöglichen Denial-of-Service-Angriffe

CVE-2020-2922

Schwachstelle in Oracle MySQL Server ermöglicht Ausspähen von Informationen

CVE-2020-8177

Schwachstelle in cURL ermöglicht Manipulation von Dateien

CVE-2020-8566

Schwachstelle in Kubernetes ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.