2021-2619: Red Hat OpenShift Container Platform, OpenShift Logging, Log4j: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2021-12-15 13:54)
- Neues Advisory
Betroffene Software
Netzwerk
Sicherheit
Systemsoftware
Virtualisierung
Betroffene Plattformen
Linux
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen, indem er durch gezielte Interaktion mit Anwendungen, die auf Log4j zurückgreifen, speziell präparierte Log-Nachrichten oder Log-Nachrichten-Parameter auf betroffene Systeme bringt. Darüber hinaus sind HTTP-Request-Smuggling- und Denial-of-Service (DoS)-Angriffe möglich.
Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Die erfolgreiche Ausnutzung der Schwachstelle CVE-2021-44228 kann Einfluss auf andere Komponenten haben.
Red Hat veröffentlicht Sicherheitsupdates für Red Hat OpenShift Container Platform 4.7 und 4.8 für Red Hat Enterprise Linux 8. Für OpenShift Container Platform 4.7 steht OpenShift Logging 5.0.10 als Sicherheitsupdate bereit. Für OpenShift Container Platform 4.8 stehen die Versionen 5.1.5, 5.2.4 und 5.3.1 zur Verfügung.
Schwachstellen:
CVE-2021-21409
Schwachstelle in Netty ermöglicht HTTP-Request-Smuggling-AngriffCVE-2021-37136
Schwachstelle in Netty ermöglicht Denial-of-Service-AngriffCVE-2021-37137
Schwachstelle in Netty ermöglicht Denial-of-Service-AngriffCVE-2021-44228
Schwachstelle in Apache Log4j ermöglicht Ausführen beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.