2021-0376: Red Hat OpenShift Container Platform: Mehrere Schwachstellen ermöglichen u. a. die Manipulation von Dateien
Historie:
- Version 1 (2021-02-18 11:57)
- Neues Advisory
- Version 2 (2021-03-04 12:18)
- Für Red Hat OpenShift Container Platform 4.5 für Red Hat Enterprise Linux 7 (x86_64) und 8 (x86_64) steht ein Sicherheitsupdate auf Version 4.5.33 bereit, um die Schwachstellen zu beheben. Mit den RPM-Paketen für Red Hat OpenShift Container Platform 4.5.33 wird zusätzlich die Schwachstelle CVE-2021-3344 behoben, welche einem Angreifer mit niedrigen Privilegien aus der Ferne ermöglicht Privilegien zu eskalieren.
Betroffene Software
Netzwerk
Virtualisierung
Betroffene Plattformen
Linux
Beschreibung:
Ein Angreifer, der in mehreren Fällen über niedrige Privilegien verfügen muss, kann mehrere Schwachstellen aus der Ferne ausnutzen, um speziell präparierte Quelldateien in den Build-Prozess einzufügen, Dateien zu manipulieren, Cross-Site-Scripting (XSS)-Angriffe durchzuführen, einen Denial-of-Service (DoS)-Angriff durchzuführen und Informationen auszuspähen. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben. Ein Angreifer kann eine weitere Schwachstelle lokal ausnutzen, um Dateien auszuspähen und zu manipulieren.
Für Red Hat OpenShift Container Platform 4.6 für Red Hat Enterprise Linux 7 (x86_64) und 8 (x86_64) steht ein Sicherheitsupdate auf Version 4.6.17 bereit, um die Schwachstellen zu beheben.
Schwachstellen:
CVE-2020-11979
Schwachstelle in Apache Ant ermöglicht Manipulation von DateienCVE-2020-1945
Schwachstelle in Apache Ant ermöglicht u. a. Manipulation von DateienCVE-2021-21602
Schwachstelle in Jenkins ermöglicht Ausspähen von DateienCVE-2021-21603
Schwachstelle in Jenkins ermöglicht Cross-Site-Scripting-AngriffCVE-2021-21604
Schwachstelle in Jenkins ermöglicht Manipulation von DateienCVE-2021-21605
Schwachstelle in Jenkins ermöglicht Manipulation von DateienCVE-2021-21606
Schwachstelle in Jenkins ermöglicht Ausspähen von DateienCVE-2021-21607
Schwachstelle in Jenkins ermöglicht Denial-of-Service-AngriffCVE-2021-21608
Schwachstelle in Jenkins ermöglicht Cross-Site-Scripting-AngriffCVE-2021-21609
Schwachstelle in Jenkins ermöglicht Ausspähen von InformationenCVE-2021-21610
Schwachstelle in Jenkins ermöglicht Cross-Site-Scripting-AngriffCVE-2021-21611
Schwachstelle in Jenkins ermöglicht Cross-Site-Scripting-AngriffCVE-2021-21615
Schwachstelle in Jenkins ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.