FERRAMENTAS LINUX: Atualização importante de segurança da Red Hat para o Red Hat OpenShift Service Mesh, aviso RedHat: RHSA-2020-2796:01

quarta-feira, 1 de julho de 2020

Atualização importante de segurança da Red Hat para o Red Hat OpenShift Service Mesh, aviso RedHat: RHSA-2020-2796:01


Confira !!



Uma atualização para servicemesh-grafana agora está disponível para o OpenShift Service Mesh 1.1. A Red Hat Product Security classificou esta atualização como tendo um impacto na segurança de Importante. Uma pontuação básica do sistema de pontuação de vulnerabilidade comum (CVSS),
----- COMECE A MENSAGEM ASSINADA PGP -----
Hash: SHA256

==================================================== ===================
                   Aviso de Segurança da Red Hat

Sinopse: Importante: Atualização de segurança Red Hat OpenShift Service Mesh servicemesh-grafana
ID do comunicado: RHSA-2020: 2796-01
Produto: Red Hat OpenShift Service Mesh
URL do comunicado: https://access.redhat.com/errata/RHSA-2020:2796
Data de emissão: 01/07 2020
Nomes do CVE: CVE-2019-11253 CVE-2019-16769 CVE-2020-7660
                   CVE-2020-7662 CVE-2020-12052 CVE-2020-12245
                   CVE-2020-13379 CVE-2020-13430
==================================================== ===================

1. Resumo:

Uma atualização para servicemesh-grafana agora está disponível para o OpenShift Service
Malha 1.1.

A Red Hat Product Security avaliou esta atualização como tendo um impacto na segurança
de Importante. Uma pontuação básica do sistema de pontuação de vulnerabilidade comum (CVSS),
que fornece uma classificação de gravidade detalhada, está disponível para cada vulnerabilidade
do (s) link (s) CVE na seção Referências.

2. Versões / arquiteturas relevantes:

Malha de serviço OpenShift 1.1 - x86_64

3. Descrição:

O Red Hat OpenShift Service Mesh é a distribuição da Red Hat do Istio
projeto de malha de serviço, adaptado para instalação em um local
Instalação da plataforma OpenShift Container.

Correção (s) de segurança:

* kubernetes: análise de YAML vulnerável ao ataque "Billion Laughs", permitindo
para negação de serviço remota (CVE-2019-11253)

* grafana: a vulnerabilidade de controle de acesso incorreto do SSRF permite
usuários não autenticados para fazer grafana enviar solicitações HTTP para qualquer URL
(CVE-2020-13379)

* npm-serialize-javascript: XSS através de caracteres não seguros no regular serializado
expressões (CVE-2019-16769)

* npm-serialize-javascript: permite que atacantes remotos injetem arbitrariamente
código através da função deleteFunctions no index.js (CVE-2020-7660)

* npmjs-websocket-extensions: vulnerabilidade ReDoS no
Analisador Sec-WebSocket-Extensions (CVE-2020-7662)

* grafana: vulnerabilidade pop-up de anotação XSS (CVE-2020-12052)

* grafana: XSS via column.title ou cellLinkTooltip (CVE-2020-12245)

* grafana: XSS através da fonte de dados OpenTSDB (CVE-2020-13430)

Para obter mais detalhes sobre os problemas de segurança, incluindo o impacto, um CVSS
pontuação, agradecimentos e outras informações relacionadas, consulte o CVE
páginas listadas na seção Referências.

4. Solução:

As notas de versão do OpenShift Service Mesh fornecem informações sobre o
recursos e
problemas conhecidos:

https://docs.openshift.com/container-platform/latest/service_mesh/serviceme
sh-release-notes.html

5. Bugs corrigidos (https://bugzilla.redhat.com/):

1757701 - CVE-2019-11253 kubernetes: análise de YAML vulnerável ao ataque "Billion Laughs", permitindo negação de serviço remota
1843640 - CVE-2020-13379 grafana: a vulnerabilidade de controle de acesso incorreto do SSRF permite que usuários não autenticados façam o grafana enviar solicitações HTTP para qualquer URL
1844228 - CVE-2020-7660 npm-serialize-javascript: permite que atacantes remotos injetem código arbitrário por meio da função deleteFunctions no index.js
1845982 - CVE-2020-7662 npmjs-websocket-extensions: vulnerabilidade ReDoS no analisador Sec-WebSocket-Extensions
1848089 - CVE-2020-12052 grafana: vulnerabilidade de popup de anotação XSS
1848092 - CVE-2019-16769 npm-serialize-javascript: XSS via caracteres não seguros em expressões regulares serializadas
1848108 - CVE-2020-13430 grafana: XSS através da fonte de dados OpenTSDB
1848643 - CVE-2020-12245 grafana: XSS via column.title ou cellLinkTooltip

6. Lista de Pacotes:

Malha de serviço OpenShift 1.1:

Fonte:
servicemesh-grafana-6.4.3-11.el8.src.rpm

x86_64:
servicemesh-grafana-6.4.3-11.el8.x86_64.rpm
servicemesh-grafana-prometheus-6.4.3-11.el8.x86_64.rpm

Esses pacotes são assinados por GPG pela Red Hat por segurança. Nossa chave e
detalhes sobre como verificar a assinatura estão disponíveis em
https://access.redhat.com/security/team/key/

7. Referências:

https://access.redhat.com/security/cve/CVE-2019-11253
https://access.redhat.com/security/cve/CVE-2019-16769
https://access.redhat.com/security/cve/CVE-2020-7660
https://access.redhat.com/security/cve/CVE-2020-7662
https://access.redhat.com/security/cve/CVE-2020-12052
https://access.redhat.com/security/cve/CVE-2020-12245
https://access.redhat.com/security/cve/CVE-2020-13379
https://access.redhat.com/security/cve/CVE-2020-13430
https://access.redhat.com/security/updates/classification/#important

8. Contato:

O contato de segurança da Red Hat é . Mais contato
detalhes em https://access.redhat.com/security/team/contact/

Direitos autorais 2020 Red Hat, Inc.
----- INICIAR ASSINATURA PGP -----
Versão: GnuPG v1

iQIVAwUBXvzaUdzjgjWX9erEAQhi3A / + MVLfbEyP2WyjpwoXIKm55dQVMYIdMGiV
Sp5NTTBjURnzM8or86n / QsW3XNLD + LHZiz9GJvsgJU6rXol2X0HR3W13QzexMqO8
sRwNZeHH7qUMSZW9ND19QWX4 / ffrOeh0SWAhxkXWwxbZFDRQwhQy19zbeR8vSij +
2 / 4DEnLqUHmyRamn / l7sz4QfAQB2NmqdpOsIG4D3ryoZ6Qiv9Am3H / p / TMjBNgWl
865TKEeNgu9 + YT0apQnL / 49wAMvY27CpuPksCnNowfF7UgDwcSHN3UFa9CleOtDr
rKio2rBbz3FI / KUcAeHvLwWV0sPyQWSI / KpMQwZ1Nj5euVwjMRCx6is83SdfTgnO
eklHKvgtktQIA1EUuFx6GNOVNS + oN / xBdim0fgvTNkMjtYAwoQ / d25tqv + Y + 7ior
jZ / mEDpvpzDPlSH2PdQhNjIVUmgvhNf7xSixFUT1SiOI3cPqCyunOqrENZW3D9Ov
lroKD0obyo53 + 5bOpg6L / vXBkyYv0IIPZZ7wY0cRUj1TLpDp7vVQnK6ozfU4VHBO
Q1UTCg7HR5hcShg7Eb4EEDLiJ4dpzlALP1XSZ6rIvyfBDCR0qVXeRp8dZ73fxCRn
ST7eewJGelgAYwECS1iofZGEtQneLLF23PH3GWJApLrdmMPdVxmylg3wsFjfQ3VY
SpJTijfX ++ c =
= oiZC
----- TERMINAR ASSINATURA PGP -----

-
RHSA-anunciar lista de discussão
RHSA-announce@redhat.com
https://www.redhat.com/mailman/listinfo/rhsa-announce


Fonte

Até a próxima !!

Nenhum comentário:

Postar um comentário