2021-1618: Red Hat OpenShift Container Platform: Mehrere Schwachstellen ermöglichen u. a. einen Denial-of-Service-Angriff

Historie:

Version 1 (2021-07-28 17:22)

Neues Advisory

Betroffene Software

Netzwerk
Virtualisierung

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, einen Cross-Site-Scripting (XSS)-Angriff und Denial-of-Service (DoS)-Angriffe durchzuführen. Zudem kann ein Angreifer zwei Schwachstellen im benachbarten Netzwerk ausnutzen, um Informationen auszuspähen und Sicherheitsvorkehrungen zu umgehen. Eine weitere Schwachstelle kann lokal ausgenutzt werden, um Sicherheitsvorkehrungen zu umgehen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.

Für Red Hat OpenShift Container Platform 4.8 steht das Red Hat OpenShift 4.8.2 Release als Sicherheitsupdate zur Behebung der Schwachstellen bereit. RHSA-2021:2438 listet zahlreiche weitere Schwachstellen, welche wahrscheinlich abhängige Pakete betreffen.

Schwachstellen:

CVE-2016-2183

Schwachstelle in SSL/TLS ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-15106

Schwachstelle in etcd ermöglicht Denial-of-Service-Angriff

CVE-2020-15112

Schwachstelle in etcd ermöglicht Denial-of-Service-Angriff

CVE-2020-15113

Schwachstelle in etcd ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-15114

Schwachstelle in etcd ermöglicht Denial-of-Service-Angriff

CVE-2020-15136

Schwachstelle in etcd ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-26160

Schwachstelle in jwt-go ermöglicht u. a. Ausspähen von Informationen

CVE-2020-28469

Schwachstelle in nodejs-glob-parent ermöglicht Denial-of-Service-Angriff

CVE-2020-28500

Schwachstelle in nodejs-lodash ermöglicht Denial-of-Service-Angriff

CVE-2020-28852

Schwachstelle in Go ermöglicht Denial-of-Service-Angriff

CVE-2020-7774

Schwachstelle in y18n ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-20206

Schwachstelle in Container Network Interface ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-20291

Schwachstelle in Buildah ermöglicht Denial-of-Service-Angriff

CVE-2021-21419

Schwachstelle in Eventlet ermöglicht Denial-of-Service-Angriff

CVE-2021-21623

Schwachstelle in Matrix Authorization Strategy Plugin ermöglicht Ausspähen von Informationen

CVE-2021-21639

Schwachstelle in Jenkins ermöglicht Manipulation von Daten

CVE-2021-21640

Schwachstelle in Jenkins ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-21648

Schwachstelle in Credentials Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2021-22133

Schwachstelle in Elastic APM agent for Go ermöglicht Ausspähen von Informationen

CVE-2021-25735

Schwachstelle in Kubernetes ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-25737

Schwachstelle in Kubernetes ermöglicht Ausspähen von Informationen

CVE-2021-29622

Schwachstelle in Prometheus ermöglicht Cross-Site-Scripting-Angriff

CVE-2021-3114

Schwachstelle in Google Go (golang) ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-3121

Schwachstelle in GoGo Protobuf ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-33194

Schwachstelle in Go (golang) ermöglicht Denial-of-Service-Angriff

CVE-2021-3636

Schwachstelle in Red Hat OpenShift ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.