segunda-feira, 23 de março de 2020
Atualização de segurança importante da Red Hat para o AMQ Streams 1.4.0 release and
Confira !!
O Red Hat AMQ Streams 1.4.0 está agora disponível no Red Hat Customer Portal. A Red Hat Product Security classificou esta atualização como tendo um impacto na segurança de Importante. Uma pontuação básica do sistema de pontuação de vulnerabilidade comum (CVSS),
----- COMECE A MENSAGEM ASSINADA PGP -----
Hash: SHA256
==================================================== ===================
Aviso de Segurança da Red Hat
Sinopse: Importante: Lançamento do Red Hat AMQ Streams 1.4.0 e atualização de segurança
ID do comunicado: RHSA-2020: 0939-01
Produto: Red Hat JBoss AMQ
URL do comunicado: https://access.redhat.com/errata/RHSA-2020:0939
Data de emissão: 2020-03-23
Nomes do CVE: CVE-2019-12399 CVE-2019-16942 CVE-2019-16943
CVE-2019-17531 CVE-2019-20330 CVE-2019-20444
CVE-2019-20445 CVE-2020-7238
==================================================== ===================
1. Resumo:
O Red Hat AMQ Streams 1.4.0 já está disponível no Red Hat Customer
Portal.
A Red Hat Product Security avaliou esta atualização como tendo um impacto na segurança
de Importante. Uma pontuação básica do sistema de pontuação de vulnerabilidade comum (CVSS),
que fornece uma classificação de gravidade detalhada, está disponível para cada vulnerabilidade
no link CVE na seção References.
2. Descrição:
O Red Hat AMQ Streams, baseado no projeto Apache Kafka, oferece uma
backbone distribuído que permite que microsserviços e outros aplicativos
compartilhe dados com taxa de transferência extremamente alta e latência extremamente baixa.
Esta versão do Red Hat AMQ Streams 1.4.0 serve como um substituto para o Red Hat.
Hat AMQ Streams 1.3.0, e inclui correções de segurança e bugs, e
aprimoramentos. Para mais informações, consulte as notas de versão vinculadas ao
na seção Referências.
Correção (s) de segurança:
* netty: Contrabando de solicitação HTTP devido ao espaço em branco da codificação de transferência
manuseio incorreto (CVE-2020-7238)
* netty: HttpObjectDecoder.java permite que o cabeçalho Content-Length seja acompanhado
pelo segundo cabeçalho Content-Length (CVE-2019-20445)
* netty: contrabando de solicitação HTTP (CVE-2019-20444)
* jackson-databind: gadgets de serialização nas classes do commons-dbcp
pacote (CVE-2019-16942)
* jackson-databind: Gadgets de serialização nas classes do pacote p6spy
(CVE-2019-16943)
* jackson-databind: problema de digitação polimórfica ao ativar a digitação padrão
para um terminal JSON exposto externamente e com apache-log4j-extra em
o caminho da classe leva à execução do código (CVE-2019-17531)
* jackson-databind: não possui determinado bloqueio net.sf.ehcache (CVE-2019-20330)
* kafka: a API REST do Connect expõe segredos de texto sem formatação no terminal de tarefas
(CVE-2019-12399)
Para mais detalhes sobre os problemas de segurança, incluindo o impacto, um CVSS
pontuação e outras informações relacionadas, consulte as páginas CVE listadas em
a seção Referências.
3. Solução:
Antes de aplicar a atualização, faça backup da sua instalação existente, incluindo
todos os aplicativos, arquivos de configuração, bancos de dados e configurações de banco de dados e
em breve.
A seção Referências desta errata contém um link para download (você deve
faça o login para baixar a atualização).
4. Bugs corrigidos (https://bugzilla.redhat.com/):
1758187 - CVE-2019-16942 jackson-databind: Gadgets de serialização em classes do pacote commons-dbcp
1758191 - CVE-2019-16943 jackson-databind: Gadgets de serialização nas classes do pacote p6spy
1775293 - CVE-2019-17531 jackson-databind: problema de digitação polimórfica ao ativar a digitação padrão para um terminal JSON exposto externamente e ter apache-log4j-extra no caminho de classe leva à execução do código
1793154 - CVE-2019-20330 jackson-databind: carece de determinados bloqueios net.sf.ehcache
1796225 - CVE-2020-7238 netty: contrabando de solicitação HTTP devido a manipulação incorreta de espaço em branco da codificação de transferência
1796593 - CVE-2019-12399 kafka: o Connect REST API expõe segredos de texto sem formatação no terminal de tarefas
1798509 - CVE-2019-20445 netty: HttpObjectDecoder.java permite que o cabeçalho Content-Length seja acompanhado pelo segundo cabeçalho Content-Length
1798524 - CVE-2019-20444 netty: contrabando de solicitação HTTP
5. Referências:
https://access.redhat.com/security/cve/CVE-2019-12399
https://access.redhat.com/security/cve/CVE-2019-16942
https://access.redhat.com/security/cve/CVE-2019-16943
https://access.redhat.com/security/cve/CVE-2019-17531
https://access.redhat.com/security/cve/CVE-2019-20330
https://access.redhat.com/security/cve/CVE-2019-20444
https://access.redhat.com/security/cve/CVE-2019-20445
https://access.redhat.com/security/cve/CVE-2020-7238
https://access.redhat.com/security/updates/classification/#important
https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=jboss.amq.streams&downloadType=distributions&version=1.4.0
https://access.redhat.com/products/red-hat-amq#streams
6. Contato:
O contato de segurança da Red Hat é . Mais contato
detalhes em https://access.redhat.com/security/team/contact/
Direitos autorais 2020 Red Hat, Inc.
----- INICIAR ASSINATURA PGP -----
Versão: GnuPG v1
iQIVAwUBXni3w9zjgjWX9erEAQjUKQ // ezAtIesG4UezTea ++ wsVnRN7B1OmW + oK
dHUwepYSLXfeXkfIYJSwyGgrBdZtl5ykqWJhU2fCgxu8jmglv1A7ickHAagYnhyE
U70pV + rNLdWVKqWHgsw / PFisn1uBEasW11vg7toOdFd8CBVCM9hI2sJvbM28PLrp
c2hDB0 + 3x0jq / v1ZLgCngx0maRF6Br8jRa8xZd7Ev6VcMgBR28u7cCjfm0iz7Sc0
afe84KG97lopcUiJYTqfC9VTOWp / vZsnEeMxxo26djKL5v1tnFcaiI ++ jFTqx7rn
fzPcYWKcncDTL4quvC63GcGIVgscZCBE8qFp3jC7rFlJjNfN5Zzm + fjCVYUwezlE
WxjyX0ONoVbp4VcMSpPkui6gAdS5G8Tfcybl3T5jh1ojtA8bKgfqSb373hmsCCv5
P072r3NkLVBHpU0t4tVxFvLMoxFHvi0OMSXmrRhtFfkcFws75 + qLzTNSgvlJJtA8
g / NFqpuHI / JKd1wY6 / 6P84GV2NQBBDshpvHI + 5nagSkGtiKFqxGsLphGOxWic + nj
BZ8IHNXADlZ8 + 9PzjFYxqD8dBUqW95LEQbk257RQOZPE5wnmLC2Njo7phG5qjhr7
lD6LQwkVto1RNOv67rYCJm + 5wJnfDFzlhXcfMwPnzLWuYAw2pX9m6hjGna70elW3
/ le8BVOSMLw =
= BmDB
----- TERMINAR ASSINATURA PGP -----
-
RHSA-anunciar lista de discussão
Este endereço de e-mail está protegido contra spambots. Você deve habilitar o JavaScript para visualizá-lo. % MINIFYHTMLdf213274f99979a9e75ff5d12368951c13% https: //www.redhat.com/mailman/listinfo/rhsa-announce
Fonte
Até a próxima !!
Marcadores: Linux, Android, Segurança
Linux,
linux distros,
Linux Segurança,
Notícia
Assinar:
Postar comentários (Atom)
Nenhum comentário:
Postar um comentário