2023-0445: Red Hat OpenShift Container Platform: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2023-02-23 10:24)

Neues Advisory

Betroffene Software

Netzwerk
Virtualisierung

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen sowie verschiedene Cross-Site-Scripting (XSS)-Angriffe und Denial-of-Service (DoS)-Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.

Red Hat stellt die Red Hat OpenShift Container Platform Version 4.9.56 für Red Hat Enterprise Linux 8 (x86_64, aarch64) als Sicherheitsupdate zur Verfügung, um die Schwachstellen zu beheben. Es werden zahlreiche weitere Schwachstellen referenziert, die wahrscheinlich abhängige Pakete betreffen.

Schwachstellen:

CVE-2020-7692

Schwachstelle in google-oauth-client ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-1471

Schwachstelle in SnakeYAML ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-2048

Schwachstelle in Jetty ermöglicht Denial-of-Service-Angriff

CVE-2022-25857

Schwachstelle in SnakeYAML ermöglicht Denial-of-Service-Angriff

CVE-2022-3064

Schwachstelle in Red Hat Enterprise Linux OpenStack, Red Hat OpenShift Container Platform und manifest-tool ermöglicht Denial-of-Service-Angriff

CVE-2022-30946

Schwachstelle in Script Security Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2022-30952

Schwachstelle in Pipeline SCM API for Blue Ocean Plugin ermöglicht Ausspähen von Informationen

CVE-2022-30953

Schwachstelle in Blue Ocean Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2022-30954

Schwachstelle in Blue Ocean Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-34174

Schwachstelle in Jenkins ermöglicht Ausspähen von Informationen

CVE-2022-36882

Schwachstelle in Git Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2022-36883

Schwachstelle in Git Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-36884

Schwachstelle in Git Plugin ermöglicht Ausspähen von Informationen

CVE-2022-36885

Schwachstelle in GitHub Plugin ermöglicht Ausspähen von Informationen

CVE-2022-43401

Schwachstelle in Script Security Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-43402

Schwachstelle in Pipeline: Groovy Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-43403

Schwachstelle in Script Security Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-43404

Schwachstelle in Script Security Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-43405

Schwachstelle in Pipeline: Groovy Libraries Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-43406

Schwachstelle in Pipeline: Deprecated Groovy Libraries Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-43407

Schwachstelle in Pipeline: Input Step Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-43408

Schwachstelle in Pipeline: Stage View ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-43409

Schwachstelle in Pipeline: Supporting APIs Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-45047

Schwachstelle in Apache MINA ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-45379

Schwachstelle in Jenkins Script Security Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-45380

Schwachstelle in Jenkins JUnit Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-45381

Schwachstelle in Jenkins ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.