2023-1216: Envoy, Istio, Oracle Linux Cloud Native Environment, Red Hat OpenShift Service Mesh: Mehrere Schwachstellen ermöglichen u. a. das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2023-05-30 18:03): Neues Advisory
Version 2 (2023-06-02 17:00): Für Oracle Linux 8 (x86_64) stehen Sicherheitsupdates bereit, mit denen die Schwachstellen in 'olcne' und 'istio' adressiert werden.
Version 3 (2023-06-05 09:53): Für Oracle Linux 7 (x86_64) steht ein Sicherheitsupdate für 'istio' bereit, um die Schwachstellen zu beheben.
Version 4 (2023-08-14 10:41): Für Red Hat OpenShift Service Mesh 2 für RHEL 8 (x86_64) steht Red Hat OpenShift Service Mesh 2.2.9 als Sicherheitsupdate bereit, um die Schwachstellen zu beheben.

Betroffene Software

Entwicklung
Middleware
Netzwerk
Server

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Privilegien zu eskalieren, Sicherheitsvorkehrungen zu umgehen, einen HTTP-Request-Smuggling-Angriff und verschiedene Denial-of-Service (DoS)-Angriffe durchzuführen.

Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Die meisten Schwachstellen erfordern die Interaktion eines Benutzers.

Für Oracle Linux 7 (x86_64) stehen Sicherheitsupdates bereit, mit denen die Schwachstellen in 'olcne' und 'istio' adressiert werden.

Schwachstellen:

CVE-2023-27487

Schwachstelle in Envoy ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-27488

Schwachstelle in Envoy ermöglicht Privilegieneskalation

CVE-2023-27491

Schwachstelle in Envoy ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-27492

Schwachstelle in Envoy ermöglicht Denial-of-Service-Angriff

CVE-2023-27493

Schwachstelle in Envoy ermöglicht HTTP-Request-Smuggling-Angriff

CVE-2023-27496