DFN-CERT

Advisory-Archiv

2021-2189: Red Hat Quay: Mehrere Schwachstellen ermöglichen u. a. das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2021-10-20 13:38)
Neues Advisory

Betroffene Software

Betroffene Plattformen

Cloud
Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Daten zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, verschiedene Denial-of-Service (DoS)-Angriffe, einen Cross-Site-Scripting (XSS)-, einen Open Redirect- oder einen Server-Side-Request-Forgery (SSRF)-Angriff durchzuführen und falsche Informationen darzustellen. Weiterhin kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Daten zu manipulieren und Denial-of-Service (DoS)-Angriffe durchzuführen.

Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers und in zwei Fällen kann die erfolgreiche Ausnutzung einer Schwachstelle Einfluss auf andere Komponenten haben.

Red Hat veröffentlicht die Red Hat Quay Version 3.6.0 und behebt damit die referenzierten 39 Schwachstellen in verschiedenen eingesetzten Komponenten, wie beispielsweise MIT Kerberos und Python Pillow.

Schwachstellen:

CVE-2017-16137

Schwachstelle in nodejs-debug ermöglicht Denial-of-Service-Angriff

CVE-2017-16138

Schwachstelle in nodejs-mime ermöglicht Denial-of-Service-Angriff

CVE-2018-1107

Schwachstelle in nodejs-is-my-json-valid ermöglicht Denial-of-Service-Angriff

CVE-2018-1109

Schwachstelle in nodejs-braces ermöglicht Denial-of-Service-Angriff

CVE-2018-16492

Schwachstelle in nodejs-extend ermöglicht Manipulation von Daten

CVE-2018-21270

Schwachstelle in stringstream ermöglicht u. a. Denial-of-Service-Angriff

CVE-2018-3721

Schwachstelle in nodejs-lodash ermöglicht Manipulation von Daten

CVE-2018-3728

Schwachstelle in Node.js hoek ermöglicht Manipulation von Daten

CVE-2018-3774

Schwachstelle in url-parse ermöglicht u. a. Umgehen von Sicherheitsvorkehrungen

CVE-2019-1010266

Schwachstelle in nodejs-lodash ermöglicht Denial-of-Service-Angriff

CVE-2019-20920

Schwachstelle in nodejs-handlebars ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2019-20922

Schwachstelle in nodejs-handlebars ermöglicht Denial-of-Service-Angriff

CVE-2020-15366

Schwachstelle in Ajv ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-25648

Schwachstelle in Network Security Services (NSS) ermöglicht Denial-of-Service-Angriff

CVE-2020-26237

Schwachstelle in highlight.js ermöglicht u. a. Denial-of-Service-Angriff

CVE-2020-26291

Schwachstelle in URI.js ermöglicht Darstellen falscher Informationen

CVE-2020-35653

Schwachstelle in Python Pillow ermöglicht u. a. Denial-of-Service-Angriff

CVE-2020-35654

Schwachstelle in Python Pillow ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-7608

Schwachstelle in yargs-parser ermöglicht Manipulation von Dateien

CVE-2020-8203

Schwachstelle in nodejs-lodash ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-22922

Schwachstelle in curl ermöglicht Manipulation von Dateien

CVE-2021-22923

Schwachstelle in curl ermöglicht Ausspähen von Informationen

CVE-2021-22924

Schwachstelle in libcurl ermöglicht Ausspähen von Informationen

CVE-2021-23364

Schwachstelle in browserslist ermöglicht Denial-of-Service-Angriff

CVE-2021-23368

Schwachstelle in postcss ermöglicht Denial-of-Service-Angriff

CVE-2021-23382

Schwachstelle in postcss ermöglicht Denial-of-Service-Angriff

CVE-2021-25289

Schwachstelle in Python Pillow ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-25290

Schwachstelle in Python Pillow ermöglicht Denial-of-Service-Angriff

CVE-2021-25291

Schwachstelle in Python Pillow ermöglicht Denial-of-Service-Angriff

CVE-2021-25292

Schwachstelle in Python Pillow ermöglicht Denial-of-Service-Angriff

CVE-2021-25293

Schwachstelle in Python Pillow ermöglicht Denial-of-Service-Angriff

CVE-2021-27515

Schwachstelle in url-parse ermöglicht Darstellen falscher Informationen

CVE-2021-27516

Schwachstelle in URI.js ermöglicht Ausspähen von Informationen

CVE-2021-27921

Schwachstelle in Python Pillow ermöglicht Denial-of-Service-Angriff

CVE-2021-27922

Schwachstelle in Python Pillow ermöglicht Denial-of-Service-Angriff

CVE-2021-27923

Schwachstelle in Python Pillow ermöglicht Denial-of-Service-Angriff

CVE-2021-34552

Schwachstelle in Python Pillow ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-36222

Schwachstelle in MIT Kerberos ermöglicht Denial-of-Service-Angriff

CVE-2021-37750

Schwachstelle in MIT Kerberos 5 ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.