FERRAMENTAS LINUX: Atualização de segurança de nível importante da Red Hat para o Hat Single Sign-On 7.3.6, aviso RedHat: RHSA-2020-0445: 01

quinta-feira, 6 de fevereiro de 2020

Atualização de segurança de nível importante da Red Hat para o Hat Single Sign-On 7.3.6, aviso RedHat: RHSA-2020-0445: 01




Confira !!



Uma atualização de segurança está agora disponível para o Red Hat Single Sign-On 7.3 no Portal do Cliente. A Red Hat Product Security classificou esta atualização como tendo um impacto na segurança de Importante. Uma pontuação básica do sistema de pontuação de vulnerabilidade comum (CVSS),
----- COMECE A MENSAGEM ASSINADA PGP -----
Hash: SHA256

==================================================== ===================
                   Aviso de Segurança da Red Hat

Sinopse: Importante: Atualização de segurança do Red Hat Single Sign-On 7.3.6
ID do comunicado: RHSA-2020: 0445-01
Produto: Logon único da Red Hat
URL do comunicado: https://access.redhat.com/errata/RHSA-2020:0445
Data de emissão: 2020-02-06
Nomes do CVE: CVE-2019-10173 CVE-2019-10219 CVE-2019-14540
                   CVE-2019-14892 CVE-2019-14893 CVE-2019-16335
                   CVE-2019-16869 CVE-2019-16942 CVE-2019-16943
                   CVE-2019-17267 CVE-2019-17531
==================================================== ===================

1. Resumo:

Uma atualização de segurança está agora disponível para o Red Hat Single Sign-On 7.3 a partir do
Portal do cliente.

A Red Hat Product Security avaliou esta atualização como tendo um impacto na segurança
de Importante. Uma pontuação básica do sistema de pontuação de vulnerabilidade comum (CVSS),
que fornece uma classificação de gravidade detalhada, está disponível para cada vulnerabilidade
no link CVE na seção References.

2. Descrição:

<< GERADO AUTOMATICAMENTE, EDITE POR FAVOR >>
O Red Hat Single Sign-On 7.3 é um servidor independente, baseado no Keycloak
projeto, que fornece autenticação e logon único com base em padrões
recursos para aplicativos da web e móveis.

Esta versão do Red Hat Single Sign-On 7.3.6 serve como um substituto para
O Red Hat Single Sign-On 7.3.5 e inclui correções e aprimoramentos,
documentados no documento Notas de versão vinculado no
Referências.

Correção (s) de segurança:

* jackson-databind: habilitando a digitação padrão leva à execução do código
(CVE-2019-17531)
* netty: contrabando de solicitação HTTP por espaço em branco mal tratado antes dos dois pontos
nos cabeçalhos HTTP (CVE-2019-16869)
* jackson-databind: Gadgets de serialização nas classes do pacote p6spy
(CVE-2019-16943)
* jackson-databind: gadgets de serialização nas classes do commons-dbcp
pacote (CVE-2019-16942)
* jackson-databind: Gadgets de serialização nas classes do pacote xalan
(CVE-2019-14893)
* jackson-databind: gadgets de serialização em classes do
pacote de configuração do commons (CVE-2019-14892)
* jackson-databind: Gadgets de serialização nas classes do pacote ehcache
(CVE-2019-17267)
* jackson-databind: problema de digitação polimórfica relacionado a
com.zaxxer.hikari.HikariConfig (CVE-2019-14540)
* jackson-databind: problema de digitação polimórfica relacionado a
com.zaxxer.hikari.HikariDataSource (CVE-2019-16335)
* hibernate-validator: o validator safeHTML permite XSS (CVE-2019-10219)
* xstream: execução remota de código devido à desserialização XML insegura
regressão (CVE-2019-10173)

Para mais detalhes sobre os problemas de segurança, incluindo o impacto, um CVSS
pontuação e outras informações relacionadas, consulte as páginas CVE listadas em
a seção Referências.

3. Solução:

Antes de aplicar a atualização, faça backup da sua instalação existente, incluindo
todos os aplicativos, arquivos de configuração, bancos de dados e configurações de banco de dados e
em breve.

A seção Referências desta errata contém um link para download (você deve
faça o login para baixar a atualização).

4. Bugs corrigidos (https://bugzilla.redhat.com/):

1722971 - CVE-2019-10173 xstream: execução remota de código devido a desserialização XML insegura (regressão de CVE-2013-7285)
1738673 - validador de hibernação CVE-2019-10219: validator safeHTML permite XSS
1755831 - CVE-2019-16335 jackson-databind: problema de digitação polimórfica relacionada a com.zaxxer.hikari.HikariDataSource
1755849 - CVE-2019-14540 jackson-databind: problema de digitação polimórfica relacionada a com.zaxxer.hikari.HikariConfig
1758167 - CVE-2019-17267 jackson-databind: Gadgets de serialização nas classes do pacote ehcache
1758171 - CVE-2019-14892 jackson-databind: Gadgets de serialização em classes do pacote de configuração do commons
1758182 - CVE-2019-14893 jackson-databind: Gadgets de serialização nas classes do pacote xalan
1758187 - CVE-2019-16942 jackson-databind: Gadgets de serialização em classes do pacote commons-dbcp
1758191 - CVE-2019-16943 jackson-databind: Gadgets de serialização nas classes do pacote p6spy
1758619 - CVE-2019-16869 netty: contrabando de solicitação HTTP por espaço em branco mal tratado antes da vírgula nos cabeçalhos HTTP
1775293 - CVE-2019-17531 jackson-databind: problema de digitação polimórfica ao ativar a digitação padrão para um terminal JSON exposto externamente e ter apache-log4j-extra no caminho de classe leva à execução do código

5. Referências:

https://access.redhat.com/security/cve/CVE-2019-10173
https://access.redhat.com/security/cve/CVE-2019-10219
https://access.redhat.com/security/cve/CVE-2019-14540
https://access.redhat.com/security/cve/CVE-2019-14892
https://access.redhat.com/security/cve/CVE-2019-14893
https://access.redhat.com/security/cve/CVE-2019-16335
https://access.redhat.com/security/cve/CVE-2019-16869
https://access.redhat.com/security/cve/CVE-2019-16942
https://access.redhat.com/security/cve/CVE-2019-16943
https://access.redhat.com/security/cve/CVE-2019-17267
https://access.redhat.com/security/cve/CVE-2019-17531
https://access.redhat.com/security/updates/classification/#important

6. Contato:

O contato de segurança da Red Hat é . Mais contato
detalhes em https://access.redhat.com/security/team/contact/

Direitos autorais 2020 Red Hat, Inc.
----- INICIAR ASSINATURA PGP -----
Versão: GnuPG v1

iQIVAwUBXjvP + dzjgjWX9erEAQiA6w // bEZCBMap + / duSID0KMFutQbHVFKMbkMv
UqTHTNZnPbsNYnmYvqL4X7 / NqYU9768fUR1yHoiNjrwY4SdMh0o9JQ3TSfIxWCn1
FoVqMsqtHWWJWHD8G54bxtP0HsJCLCXZd9WlqGTFfM + kpcAAqgNW0luyyzM + O4gd
bXkPx4rxhqTc56WuUNFF9jtRAGe + PA49XqD2sAtAwfNAkmCCp1vbinffoG0D9tme
zEMSuWieMm7BPYlvbdCY933cvG ++ mKJraI0pZqwtvUXHCbT9NQdLHUE / hcM + mDRP
WFzkA6tHi2PzPA4LBCnivzQ6RvL3jT5R6X + GaQ + jaYwiZ + Bcgjnwvi + mzCqw5VDg
gP1qyRFKaz9Rhknw9ORkchDJGqE9RnS3oOv8LVZ + 3Ck9CRzuZ7sfWSNj4gke8ZGa
f9ZdiKo / 2lxPH2twbxTDiYHLRML40Mfrh9qtdsRswBvIxH0I + dn2yjL6 / F4PB2y4
xt3FTDR33YgXsVdY8jhAJZSE + 5TVCH6jq / 4wE4z / o5Vic1VJjjs8eE7Y9lao6NEn
e3zeKtoHledPMD / AP + qRmuzlh / s5811 / GURVo / L64G1AXOYAnF2HEuuPE4viZCDF
8XlnGK / l6k + TXG + HVNkW / nKKLW6 + chZ90LmJJGJLSFm / M4XeO4P / m2oS8AwULAHn
S2Rt0bj / PBQ =
= ouX7
----- TERMINAR ASSINATURA PGP -----

-
RHSA-anunciar lista de discussão
Este endereço de e-mail está protegido contra spambots. Você deve habilitar o JavaScript para visualizá-lo.% MINIFYHTML02157d361cb7b3420a8da7ab747b9c2113% https: //www.redhat.com/mailman/listinfo/rhsa-announce


Fonte

Até a próxima !!

Nenhum comentário:

Postar um comentário