2023-0830: Red Hat OpenShift Container Platform: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2023-04-13 11:29)
- Neues Advisory
Betroffene Software
Netzwerk
Virtualisierung
Betroffene Plattformen
Linux
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen und einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Zudem kann ein Angreifer zwei Schwachstellen lokal ausnutzen, um Dateien zu manipulieren und beliebigen Programmcode auszuführen.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Zwei Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.
Red Hat stellt die Red Hat OpenShift Container Platform Version 4.10.56 für Red Hat Enterprise Linux 7 (x86_64) und 8 (x86_64, aarch64) als Sicherheitsupdate zur Verfügung, um die Schwachstellen zu beheben. Es werden weitere nicht sicherheitsrelevanter Fehler und Schwachstellen aufgeführt, die wahrscheinlich abhängige Pakete betreffen.
Schwachstellen:
CVE-2021-20329
Schwachstelle in MongoDB Go Driver ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2022-31690
Schwachstelle in Spring Security ermöglicht PrivilegieneskalationCVE-2022-31692
Schwachstelle in Spring Security ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2022-3172
Schwachstelle in Kubernetes ermöglicht Server-Side-Request-Forgery-AngriffCVE-2022-42889
Schwachstelle in Apache Commons Text ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-24422
Schwachstelle in Script Security Plugin ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2023-27898
Schwachstelle in Jenkins ermöglicht Cross-Site-Scripting-AngriffCVE-2023-27899
Schwachstelle in Jenkins ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-27903
Schwachstelle in Jenkins ermöglicht u. a. Manipulation von DateienCVE-2023-27904
Schwachstelle in Jenkins ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.