FERRAMENTAS LINUX: Atualização importante de segurança da Red Hat para o Red Hat Decision Manager 7.8.0, aviso RedHat: RHSA-2020-3196: 01

quarta-feira, 29 de julho de 2020

Atualização importante de segurança da Red Hat para o Red Hat Decision Manager 7.8.0, aviso RedHat: RHSA-2020-3196: 01


Confira !!



Uma atualização está agora disponível para o Red Hat Decision Manager. A Red Hat Product Security classificou esta atualização como tendo um impacto de segurança Moderado. Uma pontuação básica do Sistema de Pontuação de Vulnerabilidade Comum (CVSS), que fornece uma classificação detalhada de gravidade, está disponível para cada vulnerabilidade em
----- COMECE A MENSAGEM ASSINADA PGP -----
Hash: SHA256

==================================================== ===================
                   Aviso de Segurança da Red Hat

Sinopse: Importante: Atualização de segurança do Red Hat Decision Manager 7.8.0
ID do comunicado: RHSA-2020: 3196-01
Produto: Red Hat Decision Manager
URL do comunicado: https://access.redhat.com/errata/RHSA-2020:3196
Data de emissão: 2020-07-29
Nomes do CVE: CVE-2019-9512 CVE-2019-9514 CVE-2019-9515
                   CVE-2019-9518 CVE-2019-12406 CVE-2019-12423
                   CVE-2019-13990 CVE-2019-16869 CVE-2019-17573
                   CVE-2019-20330 CVE-2019-20444 CVE-2019-20445
                   CVE-2020-1718 CVE-2020-7238 CVE-2020-8840
                   CVE-2020-9546 CVE-2020-9547 CVE-2020-9548
                   CVE-2020-10672 CVE-2020-10673 CVE-2020-10968
                   CVE-2020-10969 CVE-2020-11111 CVE-2020-11112
                   CVE-2020-11113 CVE-2020-11612 CVE-2020-11619
                   CVE-2020-11620 CVE-2020-14060 CVE-2020-14061
                   CVE-2020-14062
==================================================== ===================

1. Resumo:

Uma atualização está agora disponível para o Red Hat Decision Manager.

A Red Hat Product Security avaliou esta atualização como tendo um impacto na segurança
Moderado. Uma pontuação básica do sistema de pontuação de vulnerabilidade comum (CVSS), que
fornece uma classificação de gravidade detalhada, está disponível para cada vulnerabilidade
os links CVE na seção Referências.

2. Descrição:

O Red Hat Decision Manager é uma plataforma de gerenciamento de decisão de código aberto
que combina gerenciamento de regras de negócios, processamento de eventos complexos, Decisão
Execução de Model & Notation (DMN) e Business Optimizer para resolver
problemas de planejamento. Ele automatiza as decisões de negócios e faz essa lógica
disponível para todo o negócio.

Esta versão do Red Hat Decision Manager 7.8.0 serve como uma atualização para o Red Hat.
Hat Decision Manager 7.7.1 e inclui correções e aprimoramentos, que
estão documentados no documento Notas de versão vinculado nas Referências.

Correção (s) de segurança:

* netty: contrabando de solicitação HTTP (CVE-2019-20444)

* netty: contrabando de solicitação HTTP por espaço em branco mal tratado antes dos dois pontos
nos cabeçalhos HTTP (CVE-2019-16869)

* netty: Contrabando de solicitação HTTP devido ao espaço em branco da codificação de transferência
manuseio incorreto (CVE-2020-7238)

* netty: HTTP / 2: flood usando frames vazios resulta em recursos excessivos
consumo (CVE-2019-9518)

* netty: HTTP / 2: flood usando quadros HEADERS resulta em memória ilimitada
crescimento (CVE-2019-9514)

* netty: HTTP / 2: flood usando quadros PING resulta em crescimento ilimitado de memória
(CVE-2019-9512)

* netty: HTTP / 2: flood usando quadros SETTINGS resulta em memória ilimitada
crescimento (CVE-2019-9515)

* netty: HttpObjectDecoder.java permite que o cabeçalho Content-Length seja acompanhado
pelo segundo cabeçalho Content-Length (CVE-2019-20445)

* cxf-core: cxf: não restringe o número de anexos de mensagens
(CVE-2019-12406)

* cxf-core: cxf: o serviço de token OpenId Connect não valida corretamente
o clientId (CVE-2019-12423)

* cxf-core: cxf: XSS refletido na página de listagem de serviços
(CVE-2019-17573)

* jackson-databind: carece de determinado bloqueio net.sf.ehcache (CVE-2019-20330)

* jackson-databind: Falta certo bloqueio xbean-reflect / JNDI
(CVE-2020-8840)

* jackson-databind: manipula mal a interação entre serialização
gadgets e digitação que podem resultar na execução remota de comandos
(CVE-2020-10672)

* jackson-databind: manipula mal a interação entre serialização
gadgets e digitação que podem resultar na execução remota de comandos
(CVE-2020-10673)

* jackson-databind: Gadgets de serialização no núcleo anteros (CVE-2020-9548)

* jackson-databind: Gadgets de serialização em commons-geléia: commons-geléia
(CVE-2020-11620)

* jackson-databind: Gadgets de serialização no ibatis-sqlmap (CVE-2020-9547)

* jackson-databind: Gadgets de serialização no javax.swing.JEditorPane
(CVE-2020-10969)

* jackson-databind: gadgets de serialização no
org.aoju.bus.proxy.provider. *. RmiProvider (CVE-2020-10968)

* jackson-databind: gadgets de serialização no
org.apache.activemq.jms.pool.XaPooledConnectionFactory (CVE-2020-11111)

* jackson-databind: gadgets de serialização no
org.apache.commons.proxy.provider.remoting.RmiProvider (CVE-2020-11112)

* jackson-databind: gadgets de serialização no
org.apache.openjpa.ee.WASRegistryManagedRuntime (CVE-2020-11113)

* jackson-databind: Gadgets de serialização no org.springframework: spring-aop
(CVE-2020-11619)

* jackson-databind: Gadgets de serialização no shaded-hikari-config
(CVE-2020-9546)

* jackson-databind: serialização em
oadd.org.apache.xalan.lib.sql.JNDIConnectionPool (CVE-2020-14060)

* jackson-databind: serialização no weblogic / oracle-aqjms (CVE-2020-14061)

* jackson-databind: serialização em
com.sun.org.apache.xalan.internal.lib.sql.JNDIConnectionPool
(CVE-2020-14062)

netty: codecs de compressão / descompressão não impõem limites no buffer
tamanhos de alocação (CVE-2020-11612)

* quartz: libquartz: XXE ataques via descrição do trabalho (CVE-2019-13990)

* keycloak: problema de segurança no fluxo de redefinição de credenciais (CVE-2020-1718)

Para obter mais detalhes sobre os problemas de segurança, incluindo o impacto, um CVSS
pontuação e outras informações relacionadas, consulte as páginas CVE listadas em
a seção Referências.

3. Solução:

Para instalações locais, antes de aplicar a atualização, faça backup do seu
instalação existente, incluindo todos os aplicativos, arquivos de configuração,
bancos de dados e configurações de banco de dados, e assim por diante.

Recomenda-se interromper o servidor parando o aplicativo JBoss
Processo do servidor antes de instalar esta atualização; depois de instalar a atualização,
reinicie o servidor iniciando o processo do JBoss Application Server.

A seção Referências desta errata contém um link para download (você deve
faça o login para baixar a atualização).

4. Bugs corrigidos (https://bugzilla.redhat.com/):

1735645 - CVE-2019-9512 HTTP / 2: inundação usando quadros PING resulta em crescimento ilimitado de memória
1735744 - CVE-2019-9514 HTTP / 2: inundação usando quadros HEADERS resulta em crescimento ilimitado de memória
1735745 - CVE-2019-9515 HTTP / 2: inundação usando quadros SETTINGS resulta em crescimento ilimitado da memória
1735749 - CVE-2019-9518 HTTP / 2: inundação usando quadros vazios resulta em consumo excessivo de recursos
1758619 - CVE-2019-16869 netty: contrabando de solicitação HTTP por espaço em branco mal tratado antes da vírgula nos cabeçalhos HTTP
1793154 - CVE-2019-20330 jackson-databind: carece de determinados bloqueios net.sf.ehcache
1796225 - CVE-2020-7238 netty: Contrabando de solicitação HTTP devido a manipulação incorreta de espaço em branco de codificação de transferência
1796756 - capa de teclado CVE-2020-1718: problema de segurança no fluxo de redefinição de credenciais
1797006 - CVE-2019-12423 cxf: o serviço de token do OpenId Connect não valida corretamente o clientId
1797011 - CVE-2019-17573 cxf: XSS refletido na página de listagem de serviços
1798509 - CVE-2019-20445 netty: HttpObjectDecoder.java permite que o cabeçalho Content-Length seja acompanhado pelo segundo cabeçalho Content-Length
1798524 - CVE-2019-20444 netty: contrabando de solicitação HTTP
1801149 - CVE-2019-13990 libquartz: XXE ataques via descrição do trabalho
1815470 - CVE-2020-10673 jackson-databind: manipula incorretamente a interação entre dispositivos de serialização e digitação, o que poderia resultar na execução remota de comandos
1815495 - CVE-2020-10672 jackson-databind: manipula incorretamente a interação entre dispositivos de serialização e digitação, o que pode resultar na execução remota de comandos
1816170 - CVE-2019-12406 cxf: não restringe o número de anexos de mensagens
1816216 - CVE-2020-11612 netty: codecs de compactação / descompactação não impõem limites nos tamanhos de alocação de buffer
1816330 - CVE-2020-8840 jackson-databind: Falta certo bloqueio xbean-reflect / JNDI
1816332 - CVE-2020-9546 jackson-databind: Gadgets de serialização em shaded-hikari-config
1816337 - CVE-2020-9547 jackson-databind: gadgets de serialização no ibatis-sqlmap
1816340 - CVE-2020-9548 jackson-databind: gadgets de serialização no núcleo anteros
1819208 - CVE-2020-10968 jackson-databind: Gadgets de serialização no org.aoju.bus.proxy.provider. *. RmiProvider
1819212 - CVE-2020-10969 jackson-databind: Gadgets de serialização no javax.swing.JEditorPane
1821304 - CVE-2020-11111 jackson-databind: Gadgets de serialização em org.apache.activemq.jms.pool.XaPooledConnectionFactory
1821311 - CVE-2020-11112 jackson-databind: Gadgets de serialização em org.apache.commons.proxy.provider.remoting.RmiProvider
1821315 - CVE-2020-11113 jackson-databind: Gadgets de serialização em org.apache.openjpa.ee.WASRegistryManagedRuntime
1826798 - CVE-2020-11620 jackson-databind: Gadgets de serialização em commons-jelly: commons-jelly
1826805 - CVE-2020-11619 jackson-databind: Gadgets de serialização na estrutura da fonte org: spring-aop
1848960 - CVE-2020-14060 jackson-databind: serialização em oadd.org.apache.xalan.lib.sql.JNDIConnectionPool
1848962 - CVE-2020-14062 jackson-databind: serialização em com.sun.org.apache.xalan.internal.lib.sql.JNDIConnectionPool
1848966 - CVE-2020-14061 jackson-databind: serialização em weblogic / oracle-aqjms

5. Referências:

https://access.redhat.com/security/cve/CVE-2019-9512
https://access.redhat.com/security/cve/CVE-2019-9514
https://access.redhat.com/security/cve/CVE-2019-9515
https://access.redhat.com/security/cve/CVE-2019-9518
https://access.redhat.com/security/cve/CVE-2019-12406
https://access.redhat.com/security/cve/CVE-2019-12423
https://access.redhat.com/security/cve/CVE-2019-13990
https://access.redhat.com/security/cve/CVE-2019-16869
https://access.redhat.com/security/cve/CVE-2019-17573
https://access.redhat.com/security/cve/CVE-2019-20330
https://access.redhat.com/security/cve/CVE-2019-20444
https://access.redhat.com/security/cve/CVE-2019-20445
https://access.redhat.com/security/cve/CVE-2020-1718
https://access.redhat.com/security/cve/CVE-2020-7238
https://access.redhat.com/security/cve/CVE-2020-8840
https://access.redhat.com/security/cve/CVE-2020-9546
https://access.redhat.com/security/cve/CVE-2020-9547
https://access.redhat.com/security/cve/CVE-2020-9548
https://access.redhat.com/security/cve/CVE-2020-10672
https://access.redhat.com/security/cve/CVE-2020-10673
https://access.redhat.com/security/cve/CVE-2020-10968
https://access.redhat.com/security/cve/CVE-2020-10969
https://access.redhat.com/security/cve/CVE-2020-11111
https://access.redhat.com/security/cve/CVE-2020-11112
https://access.redhat.com/security/cve/CVE-2020-11113
https://access.redhat.com/security/cve/CVE-2020-11612
https://access.redhat.com/security/cve/CVE-2020-11619
https://access.redhat.com/security/cve/CVE-2020-11620
https://access.redhat.com/security/cve/CVE-2020-14060
https://access.redhat.com/security/cve/CVE-2020-14061
https://access.redhat.com/security/cve/CVE-2020-14062
https://access.redhat.com/security/updates/classification/#important
https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?downloadType=distributions&product=rhdm&version=7.8.0
https://access.redhat.com/documentation/en-us/red_hat_decision_manager/7.8/html/release_notes_for_red_hat_decision_manager_7.8/index

6. Contato:

O contato de segurança da Red Hat é . Mais contato
detalhes em https://access.redhat.com/security/team/contact/

Direitos autorais 2020 Red Hat, Inc.
----- INICIAR ASSINATURA PGP -----
Versão: GnuPG v1

iQIVAwUBXyESUtzjgjWX9erEAQj3IQ // doQJxbHu4D4NX6f9Ox9rq / Zz5ioVYNOx
RbOVHYL3 / wsZ7iC7spi / bqPv / jRA / Uc6PhkfdG80tnZAlLIweBeR1frfQYxnMDDW
F + 4b + X08ukjAvZPogN814duOI91juzbHUwG3b / P4 + RcqOH + 6iTD9HM4C5n28VEzf
qroRDasx / Z5OiYfBpgDAVF2BvnI0zV3aJTR1hfsj0As3tmaj2GUtLQd7v + Gn7qEf
RA / Ah2 + FEgmnhZay0p0rONN4457Ddl / ypQ3c7aW50JWarkFxtdslYma / L6T / e4N8
v4EJ3SphfOqr5LzCRJ8Znsfsgw3fvvNAnOvrCFDqxIL / x / oDYBr2I5bBR5QzdXpe
MY4buJOausF4XnqyKob0eo / TayntLspiy + d7uYCJUtI4e0A + CSbQ8dvxwc1mCH36
cflaIN6r0D7Jyg9I7CWQuBl2m4zZgzAqKbo0ckwKxwbiLU8foYoQ2Lz0KOKoyPAY
CJH5HvO2AeFJXHHdNmwFgyQK2bNVxk0zNjm + b28k5gIba7hlFE9iv3yvBuSXGXR /
f8oUCRszxhFs4BzEnl9ZcaN6lWA3KtbEbF13ov + MeszKGTkOzFZ / zcU35p2pBjkP
JLmXDBH8ppXwYsTuykWc9lbCmzHC96CReQ2fgYaZk1MzU6Ak9WZLZgmH5NCtKn9E
7VuJHdg9mFg =
= ar + t
----- TERMINAR ASSINATURA PGP -----

-
RHSA-anunciar lista de discussão
RHSA-announce@redhat.com
https://www.redhat.com/mailman/listinfo/rhsa-announce

Fonte

Até a próxima !

Nenhum comentário:

Postar um comentário