2022-0495: Red Hat Advanced Cluster Management for Kubernetes: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2022-03-04 16:34)
- Neues Advisory
- Version 2 (2022-03-15 11:03)
- Mit Red Hat Advanced Cluster Management for Kubernetes 2.2.11 werden die Schwachstellen CVE-2021-23434 und CVE-2022-0155 adressiert.
Betroffene Software
Netzwerk
Virtualisierung
Betroffene Plattformen
Linux
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer eine Schwachstelle lokal ausnutzen, um Informationen auszuspähen.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Eine Schwachstelle erfordert die Interaktion eines Benutzers.
Red Hat stellt zur Behebung der Schwachstellen Red Hat Advanced Cluster Management for Kubernetes 2 for RHEL 7 und 8 Version 2.3.6 bereit. Es werden eine Vielzahl weiterer Schwachstellen aufgelistet, welche wahrscheinlich abhängig Pakete betreffen.
Schwachstellen:
CVE-2021-23566
Schwachstelle in nanoid ermöglicht Ausspähen von InformationenCVE-2021-3918
Schwachstelle in nodejs-json-schema ermöglicht u. a. Ausführen beliebigen ProgrammcodesCVE-2021-43565
Schwachstelle in Go Cryptography ermöglicht Denial-of-Service-AngriffCVE-2022-0155
Schwachstelle follow-redirects ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.