terça-feira, 26 de maio de 2020
Atualização importante de segurança da Red Hat para o Red Hat Data Grid 7.3.6, aviso RedHat: RHSA-2020-2321: 01
Confira !!
Uma atualização para o Red Hat Data Grid já está disponível. A Red Hat Product Security classificou esta atualização como tendo um impacto na segurança de Importante. Uma pontuação básica do sistema de pontuação de vulnerabilidade comum (CVSS), que fornece uma classificação detalhada de gravidade, está disponível para cada vulnerabilidade
----- COMECE A MENSAGEM ASSINADA PGP -----
Hash: SHA256
==================================================== ===================
Aviso de Segurança da Red Hat
Sinopse: Importante: Atualização de segurança do Red Hat Data Grid 7.3.6
ID do comunicado: RHSA-2020: 2321-01
Produto: Red Hat JBoss Data Grid
URL do comunicado: https://access.redhat.com/errata/RHSA-2020:2321
Data de emissão: 2020-05-26
Nomes do CVE: CVE-2018-10862 CVE-2019-0205 CVE-2019-0210
CVE-2019-10086 CVE-2019-10219 CVE-2019-14540
CVE-2019-16869 CVE-2019-16942 CVE-2019-16943
CVE-2019-17267 CVE-2019-20444 CVE-2019-20445
CVE-2020-7238
==================================================== ===================
1. Resumo:
Uma atualização para o Red Hat Data Grid já está disponível.
A Red Hat Product Security avaliou esta atualização como tendo um impacto na segurança
de Importante. Uma pontuação básica do sistema de pontuação de vulnerabilidade comum (CVSS),
que fornece uma classificação de gravidade detalhada, está disponível para cada vulnerabilidade
do (s) link (s) CVE na seção Referências.
2. Descrição:
O Red Hat Data Grid é um armazenamento de dados NoSQL distribuído, na memória, com base no
Projeto Infinispan.
Esta versão do Red Hat Data Grid 7.3.6 serve como um substituto para o Red Hat
Data Grid 7.3.5 e inclui correções e aprimoramentos, que são
descrito nas Notas da versão, vinculadas na seção Referências deste
errata.
Correções de segurança:
* wildfly-core: a travessia do caminho pode permitir a extração de arquivos .war para
gravar arquivos arbitrários (Zip Slip) (CVE-2018-10862)
* apache-commons-beanutils: não suprime a propriedade de classe em
PropertyUtilsBean por padrão (CVE-2019-10086)
* netty: contrabando de solicitação HTTP por espaço em branco mal tratado antes dos dois pontos
nos cabeçalhos HTTP (CVE-2019-16869)
* netty: contrabando de solicitação HTTP (CVE-2019-20444)
* netty: HttpObjectDecoder.java permite que o cabeçalho Content-Length seja acompanhado
pelo segundo cabeçalho Content-Length (CVE-2019-20445)
* netty: Contrabando de solicitação HTTP devido ao espaço em branco da codificação de transferência
manuseio incorreto (CVE-2020-7238)
* thrift: loop infinito ao alimentar com dados de entrada específicos (CVE-2019-0205)
* thrift: Leitura fora dos limites relacionada ao TJSONProtocol ou
TSimpleJSONProtocol (CVE-2019-0210)
* hibernate-validator: validator safeHTML permite XSS (CVE-2019-10219)
* jackson-databind: Gadgets de serialização em com.zaxxer.hikari.HikariConfig
(CVE-2019-14540)
* jackson-databind: gadgets de serialização no
org.apache.commons.dbcp.datasources. * (CVE-2019-16942)
* jackson-databind: gadgets de serialização no
com.p6spy.engine.spy.P6DataSource (CVE-2019-16943)
* jackson-databind: Gadgets de serialização nas classes do pacote ehcache
(CVE-2019-17267)
Para obter mais detalhes sobre os problemas de segurança, incluindo o impacto, um CVSS
pontuação, agradecimentos e outras informações relacionadas, consulte o CVE
páginas listadas na seção Referências.
3. Solução:
Para instalar esta atualização, faça o seguinte:
1. Faça o download do patch do servidor Data Grid 7.3.6 no portal do cliente. Vejo
o link de download na seção Referências.
2. Faça backup da sua instalação existente do Data Grid. Você deve fazer backup
bancos de dados, arquivos de configuração e assim por diante.
3. Instale o patch do servidor Data Grid 7.3.6. Consulte as notas de versão 7.3
para instruções de aplicação de patches.
4. Reinicie o Data Grid para garantir que as alterações entrem em vigor.
4. Bugs corrigidos (https://bugzilla.redhat.com/):
1593527 - CVE-2018-10862 wildfly-core: o deslocamento do caminho pode permitir a extração de arquivos .war para gravar arquivos arbitrários (Zip Slip)
1738673 - validador de hibernação CVE-2019-10219: validator safeHTML permite XSS
1755849 - CVE-2019-14540 jackson-databind: Gadgets de serialização em com.zaxxer.hikari.HikariConfig
1758167 - CVE-2019-17267 jackson-databind: Gadgets de serialização em classes do pacote ehcache
1758187 - CVE-2019-16942 jackson-databind: Gadgets de serialização em org.apache.commons.dbcp.datasources. *
1758191 - CVE-2019-16943 jackson-databind: Gadgets de serialização em com.p6spy.engine.spy.P6DataSource
1758619 - CVE-2019-16869 netty: contrabando de solicitação HTTP por espaço em branco mal tratado antes da vírgula nos cabeçalhos HTTP
1764607 - CVE-2019-0210 thrift: leitura fora dos limites relacionada ao TJSONProtocol ou TSimpleJSONProtocol
1764612 - CVE-2019-0205 thrift: loop infinito ao alimentar com dados de entrada específicos
1767483 - CVE-2019-10086 apache-commons-beanutils: não suprime a propriedade de classe em PropertyUtilsBean por padrão
1796225 - CVE-2020-7238 netty: contrabando de solicitação HTTP devido a manipulação incorreta de espaço em branco da codificação de transferência
1798509 - CVE-2019-20445 netty: HttpObjectDecoder.java permite que o cabeçalho Content-Length seja acompanhado pelo segundo cabeçalho Content-Length
1798524 - CVE-2019-20444 netty: contrabando de solicitação HTTP
5. Referências:
https://access.redhat.com/security/cve/CVE-2018-10862
https://access.redhat.com/security/cve/CVE-2019-0205
https://access.redhat.com/security/cve/CVE-2019-0210
https://access.redhat.com/security/cve/CVE-2019-10086
https://access.redhat.com/security/cve/CVE-2019-10219
https://access.redhat.com/security/cve/CVE-2019-14540
https://access.redhat.com/security/cve/CVE-2019-16869
https://access.redhat.com/security/cve/CVE-2019-16942
https://access.redhat.com/security/cve/CVE-2019-16943
https://access.redhat.com/security/cve/CVE-2019-17267
https://access.redhat.com/security/cve/CVE-2019-20444
https://access.redhat.com/security/cve/CVE-2019-20445
https://access.redhat.com/security/cve/CVE-2020-7238
https://access.redhat.com/security/updates/classification/#important
https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=data.grid&downloadType=patches&version=7.3
https://access.redhat.com/documentation/en-us/red_hat_data_grid/7.3/html-single/red_hat_data_grid_7.3_release_notes/index
6. Contato:
O contato de segurança da Red Hat é . Mais contato
detalhes em https://access.redhat.com/security/team/contact/
Direitos autorais 2020 Red Hat, Inc.
----- INICIAR ASSINATURA PGP -----
Versão: GnuPG v1
iQIVAwUBXs0 / WtzjgjWX9erEAQj6YBAAprUkyGaWcz + RYX6fFXboPsTp + DryzK86
I0qkM7 + AcdotKa113mC6JYxxCdTScRDpEMro4hlhgdk1tkFKarlT0ygK8pQiR0JP
lQ6Orkf267u6Dgl / WcycTYhmWL3ZnBujKf + Lw9hrI5BqHMCHkxUYTJtQoolqfEHR
Kjm84Ztf3xb29Olrcho4AkQQruHdoc9BYDN0cVdLcO4cprYhBFxU7PFXZy6 + YtiJ
5QJwfeGnHIQcSLfaGjsLno2K4ZxRfwMX04xWn7hAaYRQV7CIfcPjqj0mCyEVfDND
0a3WbgiMwMvkT6B0E9e7fQy02nlQbPKvsTBcvb4f0a0iJ5fJYljMowcWl0j + 7Jtj
CCdlaMEcVnk / ABF5ShP7HdB3gbEnPPQrFMIcpOwYDBxxnpR0PwqL8mGSroJD1Pp9
S2OLc0HxqMEKmiqtJWY74 + ltCSIFx0GwdkimhWJ7wnQitpIFRNeWyAMdz9IuqVXX
Tcyys8aKXk + vZAYrCSckD4JFvguUPMcp9XJ7wANkHVlBgW0pcTdbro6jIii / xRZa
v4mWhkNkw9qr3aIkOZ + FdcNxDkhWWq8INV5 + 4I8ueqebBUibl6KLptcgbs5aUauz
KYhyKl0qcAczrmDGZK3EhvZzCWCm / NfLG8Mv9 + YgIdErJg8xgeLceaoKlwDtbsWm
ajI0qVNl6Bs =
= dbVJ
----- TERMINAR ASSINATURA PGP -----
-
RHSA-anunciar lista de discussão
RHSA-announce@redhat.com
https://www.redhat.com/mailman/listinfo/rhsa-announce
Fonte
Até a próxima !!
Marcadores: Linux, Android, Segurança
Linux,
linux distros,
liux segurança,
Notícia,
Red Hat
Assinar:
Postar comentários (Atom)
Nenhum comentário:
Postar um comentário