Red Hat OpenSHift ContAIneR platform是红帽公司的一套可帮助企业在物理、虚拟和公共云基础架构之间开发、部署和管理现有基于容器的应用程序的应用平台。它采用企业级KubeRnetes技术构建,专为内部部署或私有云部署而设计,可以实现全堆栈自动化运维,以管理混合云和多云部署。
7月1日,RedHat发布了安全更新,修复了红帽云计算应用平台(OpenSHift)解决方案发现的请求伪造,特权提升等重要漏洞。以下是漏洞详情:
漏洞详情
1.CVE-2021-21642 CVSS评分:8.1 严重程度:高
在 config-file-ProvideR Jenkins 插件中发现了一个漏洞。XML插件解析器未配置为防止XML外部实体 (XXE) 攻击。具有定义 Maven 配置文件能力的攻击者可以利用此漏洞准备精心制作的配置文件,该文件使用外部实体从Jenkins控制器或服务器端请求伪造中提取机密。
2.CVE-2020-27216 CVSS评分:7.0 严重程度:高
在 EclIPse Jetty 版本 1.0 到 9.4.32.v20200930、10.0.0.alpha1 到 10.0.0.beta2 和 11.0.0.alpha1 到 11.0.0.beta2O 中,在类 Unix 系统上,系统的临时目录在所有临时目录之间共享该系统上的用户。并置用户可以在共享临时目录中观察创建临时子目录的过程,并竞相完成临时子目录的创建。攻击者可以拥有对用于解压 Web 应用程序的子目录的读写权限,包括他们的 WEB-INF/lib jaR 文件和 JSP 文件。如果在此临时目录外执行任何代码,则可能导致本地提权漏洞。
3.CVE-2021-21644 CVSS评分:6.3 严重程度:高
在 config-file-ProvideR Jenkins 插件中发现了跨站点请求伪造 (CSRF) 漏洞。该插件不需要对 HTTP 端点的 POST 请求,这允许攻击者删除与攻击者指定的 ID 对应的配置文件。
受影响产品和版本
Red Hat OpenSHift ContAIneR platform 4.5 foR RHEL 8 x86_64
Red Hat OpenSHift ContAIneR platform 4.5 foR RHEL 7 x86_64
Red Hat OpenSHift ContAIneR platform foR PoweR 4.5 foR RHEL 8 pPC64le
Red Hat OpenSHift ContAIneR platform foR PoweR 4.5 foR RHEL 7 pPC64le
Red Hat OpenSHift ContAIneR platform foR IBM Z and linuxONE 4.5 foR RHEL 8 s390x
Red Hat OpenSHift ContAIneR platform foR IBM Z and linuxONE 4.5 foR RHEL 7 s390x
解决方案
对于 OpenSHift ContAIneR platform 4.5,请参阅以下文档,了解有关如何
升级集群和完全应用此异步勘误更新的重要说明:
有关如何访问此内容的详细信息,请访问
查看更多漏洞信息 以及升级请访问官网:
