分享好友 资讯首页 频道列表

云安全日报211111:红帽企业高级集群管理解决方案发现重要漏洞,需要尽快升级

2021-11-11 18:004650

Red Hat Advanced Cluster Management是红帽公司的一个控制台集群控制软件。这是红帽专为混合云环境设计的IT管理技术产品系列的最新成员,它能帮助企业利用跨混合云和多云环境的企业级管理能力,进一步延伸并扩展红帽OpenShift,使其能够管理多个Kubernetes集群,在确保策略和治理措施执行的同时,实现跨混合云的多集群应用部署。

11月10日,RedHat发布了安全更新,修复了红帽高级集群管理解决方案中发现的一些列重要漏洞。以下是漏洞详情:

漏洞详情

来源:https://access.redhat.com/errata/RHSA-2021:4618

1.CVE-2021-3711 CVSS评分:9.8 严重程度:重要

在 openssl 中发现了一个漏洞。在 openssl 的 SM2 解密函数中发现缓冲区大小计算错误,允许在缓冲区外写入多达 62 个任意字节。远程攻击者可以利用此漏洞使支持 SM2 签名或加密算法的应用程序崩溃,或者,可能在运行该应用程序的用户的权限下执行任意代码。此漏洞的最大威胁是数据机密性和完整性以及系统可用性。

2.CVE-2021-3656 CVSS评分:8.8 严重程度:重要

在 KVM 的 AMD 代码中发现了一个用于支持 SVM 嵌套虚拟化的漏洞。该漏洞发生在处理 L1 来宾提供的 VMCB(虚拟机控制块)以生成/处理嵌套来宾 (L2) 时。由于“virt_ext”字段验证不当,此漏洞可能允许恶意 L1 禁用 L2 来宾的 VMLOAD/VMSAVE 拦截和 VLS(虚拟 VMLOAD/VMSAVE)。结果,L2 来宾将被允许读/写主机的物理页面,从而导致整个系统崩溃、敏感数据泄漏或潜在的来宾到主机逃逸。

3.CVE-2021-23017 CVSS评分:8.1 严重程度:重要

在 nginx 中发现了一个漏洞。处理 DNS 响应时的一个差错允许网络攻击者在堆分配的缓冲区中写入越界的点字符,这可能允许覆盖下一个堆块元数据的最低有效字节,这可能会导致远程代码执行情况。此漏洞的最大威胁是数据机密性和完整性以及系统可用性。

4.CVE-2021-32803 CVSS评分:8.1 严重程度:重要

npm 包“tar”(又名 node-tar)由于符号链接保护不足而具有任意文件创建/覆盖漏洞。`node-tar` 旨在保证不会提取任何位置会被符号链接修改的文件。这部分是通过确保提取的目录不是符号链接来实现的。此外,为了防止不必要的 `stat` 调用来确定给定的路径是否是目录,在创建目录时会缓存路径。

5.CVE-2021-32804 CVSS评分:8.1 严重程度:重要

由于绝对路径清理不足,npm 包“tar”(又名 node-tar)具有任意文件创建/覆盖漏洞。node-tar 旨在通过在 `preservePaths` 标志未设置为 `true` 时将绝对路径转换为相对路径来防止提取绝对文件路径。这是通过从包含在 tar 文件中的任何绝对文件路径中剥离绝对路径根来实现的。

6.CVE-2020-36385 CVSS评分:7.8 严重程度:重要

在用于 RDMA的Linux内核用户空间连接管理器访问中发现了一个漏洞。这可能允许本地攻击者使系统崩溃、损坏内存或提升权限。

7.CVE-2021-0512 CVSS评分:7.8 严重程度:重要

在用户连接 USB 或其他 HID 设备的方式中发现了 Linux 内核HID子系统中的越界内存写入漏洞,这些设备在HID报告字段中生成不正确的数据。本地用户可能会利用此漏洞使系统崩溃或可能提升他们在系统上的权限。

受影响产品和版本

Red Hat Advanced Cluster Management for Kubernetes 2 for RHEL 8 x86_64

解决方案

红帽已经发布Red Hat Advanced Cluster Management 2.4安全更新。对于 Red Hat Advanced Cluster Management for Kubernetes,请参阅以下文档,该文档将很快针对此版本进行更新,以获取有关如何升级集群和完全应用此异步勘误更新的重要说明:

https://access.redhat.com/documentation/en-us/red_hat_advanced_cluster_management_for_kubernetes/2.4/html/release_notes/index

有关如何应用此更新的详细信息,请参阅:

https://access.redhat.com/documentation/en-us/red_hat_advanced_cluster_management_for_kubernetes/2.4/html-single/install/index#installing

查看更多漏洞信息 以及升级请访问官网:

https://access.redhat.com/security/security-updates/#/security-advisories

反对 0
举报 0
收藏 0
打赏 0
评论 0
托管云安全修复初创公司 Tamnoon筹集 1200 万美元的新资金
该公司表示,该服务通过优化和加强优先级排序、分类、补救和预防流程来减少云暴露并增强云安全性,以提供更强大、更成熟的持续威胁暴露管理。

0评论2024-09-26770

云安全日报220412:IBM企业B2B平台软件发现执行任意代码漏洞,需要尽快升级
IBM Sterling B2B Integrator是美国IBM公司的一套集成了重要的B2B流程、交易和关系的软件。该软件支持与不同的合作伙伴社区之间实现复杂的B2B流程的安全集成。 4月11日,IBM发布了安全更新,

0评论2022-04-13722

云安全日报220407:VMware云计算解决方案发现远程代码执行漏洞,需要尽快升级
VMware是一家云基础架构和移动商务解决方案厂商,提供基于VMware的虚拟化解决方案。VMware Workspace ONE Access (以前称为 VMware

0评论2022-04-07758

云安全日报220331:Ubuntu Linux内核发现执行任意代码漏洞,需要尽快升级
Ubuntu是一个以桌面应用为主的Linux操作系统。它是一个开放源代码的自由软件,提供了一个健壮、功能丰富的计算环境,既适合家庭使用又适用于商业环境。Ubuntu为全球

0评论2022-03-31553

云安全日报220329:IBM现代元数据管理软件发现执行任意代码漏洞,需要尽快升级
IBM Spectrum Discover是IBM公司一款现代化元数据管理软件,它可以为EB级的非结构化数据存储提供数据洞察。它可以快速抓取、整理和索引数十亿个文件和对象

0评论2022-03-29518

云安全日报220324:Ubuntu Linux内核发现执行任意代码漏洞,需要尽快升级
Ubuntu是一个以桌面应用为主的Linux操作系统。它是一个开放源代码的自由软件,提供了一个健壮、功能丰富的计算环境,既适合家庭使用又适用于商业环境。Ubuntu为全球

0评论2022-03-24495

云安全日报220322:IBM云原生数据和AI平台发现执行任意代码漏洞,需要尽快升级
IBM Watson Knowledge Catalog in Cloud Pak for Data是美国IBM公司的一个云原生数据和AI平台。通过IBM Cloud Pak

0评论2022-03-22536

云安全日报220317:红帽OpenShift云应用平台发现执行任意代码漏洞,需要尽快升级
Red Hat OpenShift Container Platform(红帽OpenShift容器平台)是美国红帽(Red Hat)公司的一套可帮助企业�

0评论2022-03-17470

云安全日报220315:苹果macOS系统发现特权提升,执行任意代码漏洞,需要尽快升级
苹果于3月14日发布了macOS Monterey 12.3和macOS Big Sur 11.6.5最新正式版,同时带来了macOS系统安全更新,以修补其中发现的系统�

0评论2022-03-15533

云安全日报220310:IBM轻量级企业应用服务器发现执行任意代码漏洞,需要尽快升级
IBM WebSphere Application Server Liberty是美国IBM公司的一款应云时代而生的轻量级企业应用服务器,可用

0评论2022-03-13549