Red Hat OpenShift Container Platform(红帽OpenShift容器平台)是红帽(Red Hat)公司的一套可帮助企业在物理、虚拟和公共云基础架构之间开发、部署和管理现有基于容器的应用程序的应用平台。它采用企业级Kubernetes技术构建,专为内部部署或私有云部署而设计,可以实现全堆栈自动化运维,以管理混合云和多云部署。
7月1日,RedHat发布了安全更新,修复了红帽云计算应用平台(OpenShift)解决方案发现的请求伪造,特权提升等重要漏洞。以下是漏洞详情:
漏洞详情
来源:https://access.redhat.com/errata/RHSA-2021:2431
1.CVE-2021-21642 CVSS评分:8.1 严重程度:高
在 config-file-provider Jenkins 插件中发现了一个漏洞。XML插件解析器未配置为防止XML外部实体 (XXE) 攻击。具有定义 Maven 配置文件能力的攻击者可以利用此漏洞准备精心制作的配置文件,该文件使用外部实体从Jenkins控制器或服务器端请求伪造中提取机密。
2.CVE-2020-27216 CVSS评分:7.0 严重程度:高
在 Eclipse Jetty 版本 1.0 到 9.4.32.v20200930、10.0.0.alpha1 到 10.0.0.beta2 和 11.0.0.alpha1 到 11.0.0.beta2O 中,在类 Unix 系统上,系统的临时目录在所有临时目录之间共享该系统上的用户。并置用户可以在共享临时目录中观察创建临时子目录的过程,并竞相完成临时子目录的创建。攻击者可以拥有对用于解压 Web 应用程序的子目录的读写权限,包括他们的 WEB-INF/lib jar 文件和 JSP 文件。如果在此临时目录外执行任何代码,则可能导致本地提权漏洞。
3.CVE-2021-21644 CVSS评分:6.3 严重程度:高
在 config-file-provider Jenkins 插件中发现了跨站点请求伪造 (CSRF) 漏洞。该插件不需要对 HTTP 端点的 POST 请求,这允许攻击者删除与攻击者指定的 ID 对应的配置文件。
受影响产品和版本
Red Hat OpenShift Container Platform 4.5 for RHEL 8 x86_64
Red Hat OpenShift Container Platform 4.5 for RHEL 7 x86_64
Red Hat OpenShift Container Platform for Power 4.5 for RHEL 8 ppc64le
Red Hat OpenShift Container Platform for Power 4.5 for RHEL 7 ppc64le
Red Hat OpenShift Container Platform for IBM Z and LinuxONE 4.5 for RHEL 8 s390x
Red Hat OpenShift Container Platform for IBM Z and LinuxONE 4.5 for RHEL 7 s390x
解决方案
对于 OpenShift Container Platform 4.5,请参阅以下文档(即将针对此版本进行更新),了解有关如何
升级集群和完全应用此异步勘误更新的重要说明:
https://docs.openshift.com/container-platform/4.5/release_notes/ocp-4-5-release-notes.html
有关如何访问此内容的详细信息,请访问
https://docs.openshift.com/container-platform/4.5/updating/updating-cluster-cli.html
查看更多漏洞信息 以及升级请访问官网:
https://access.redhat.com/security/security-updates/#/security-advisories
Ubuntu是一个以桌面应用为主的Linux操作系统。它是一个开放源代码的自由软件,提供了一个健壮、功能丰富的计算环境,既适合家庭使用又适用于商业环境。Ubuntu将为全球数百个公司提供商业支持。 ...
查看全文Docker采取了一种保守的方法来清理未使用的对象(通常称为“垃圾收集”),例如图像,容器,卷和网络:除非您明确要求Docker这样做,否则通常不会删除这些对象。这可能会导致Docker使用额外的磁盘空...
查看全文新浪科技讯 北京时间5月27日晚间消息,据报道,四位知情人士今日透露,亚马逊、微软和谷歌这三大云计算服务提供商,正在竞争波音公司(Boeing)价值10亿美元的云服务合同。 这些...
查看全文新浪科技讯 北京时间5月27日晚间消息,据报道,多位知情人士今日称,继加州、纽约州和华盛顿州之后,马萨诸塞州和宾夕法尼亚州的总检察长也加入到对亚马逊的反垄断调查中。 如今,越来越...
查看全文
您好!请登录