2021-0842: Red Hat Satellite: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2021-04-22 12:25)

Neues Advisory

Version 2 (2021-05-10 11:12)

Red Hat aktualisiert den Sicherheitshinweis und führt jetzt mehrere zusätzliche Schwachstellen auf, die die Komponenten Ruby und Rails betreffen. Die Schwachstellen ermöglichen einem Angreifer zumeist aus der Ferne das Ausspähen von Informationen, das Umgehen von Sicherheitsvorkehrungen, einen Denial-of-Service (DoS)- und zwei Cross-Site-Scripting (XSS)-Angriffe sowie die Ausführung beliebigen Programmcodes.

Betroffene Software

Netzwerk
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen (SQL-Injektion) und einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer eine Schwachstelle lokal ausnutzen, um Informationen auszuspähen. Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich.

Red Hat stellt für Red Hat Satellite 6.9 und Red Hat Satellite Capsule 6.9 auf Red Hat Enterprise Linux 7 Sicherheitsupdates zur Behebung der Schwachstellen bereit. Mit den Updates werden zudem weitere Programmfehler behoben.

Schwachstellen:

CVE-2015-1820

Schwachstelle in Rubygems REST-Client ermöglicht Ausspähen von Informationen

CVE-2015-3448

Schwachstelle in RubyGem REST-Client ermöglicht Ausspähen von Informationen

CVE-2017-2662

Schwachstelle in Foreman ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-1000119

Schwachstelle in rack-protection ermöglicht Ausspähen von Informationen

CVE-2019-16782

Schwachstelle in rubygem-rack ermöglicht u. a. Ausspähen von Informationen

CVE-2019-18874

Schwachstelle in psutil ermöglicht Denial-of-Service-Angriff

CVE-2020-11612

Schwachstelle in Netty ermöglicht Denial-of-Service-Angriff

CVE-2020-14335

Schwachstelle in Foreman ermöglicht u. a. Ausspähen von Informationen

CVE-2020-15169

Schwachstelle in rubygem-actionview ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-25633

Schwachstelle in RESTEasy ermöglicht Ausspähen von Informationen

CVE-2020-8162

Schwachstelle in rubygem-activestorage ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-8164

Schwachstelle in rubygem-actionpack ermöglicht Ausspähen von Informationen

CVE-2020-8165

Schwachstelle in rubygem-activesupport ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-8166

Schwachstelle in rubygem-actionpack ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2020-8167

Schwachstelle in rubygem-actionview ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2020-8185

Schwachstelle in Rails ermöglicht Denial-of-Service-Angriff

CVE-2020-9402

Schwachstelle in Django ermöglicht SQL-Injektion

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.