FERRAMENTAS LINUX: Atualização importante de segurança da Red Hat para o Thorntail 2.7.1, aviso RedHat: RHSA-2020-3539: 01

quarta-feira, 2 de setembro de 2020

Atualização importante de segurança da Red Hat para o Thorntail 2.7.1, aviso RedHat: RHSA-2020-3539: 01




Confira !


Uma atualização agora está disponível para a construção do Red Hat do Thorntail. A Red Hat Product Security classificou esta atualização como tendo um impacto de segurança de Importante. Uma pontuação básica do Common Vulnerability Scoring System (CVSS), que dá uma classificação de gravidade detalhada, está disponível para cada
----- BEGIN PGP ASSIGNED MESSAGE -----
Hash: SHA256

========================================================== =====================
                   Aviso de segurança da Red Hat

Sinopse: Importante: Versão Red Hat do Thorntail 2.7.1 atualização de segurança e correção de bug
ID consultivo: RHSA-2020: 3539-01
Produto: Red Hat OpenShift Application Runtimes
URL de aviso: https://access.redhat.com/errata/RHSA-2020:3539
Data de emissão: 02-09-2020
Nomes CVE: CVE-2020-1710 CVE-2020-1728 CVE-2020-1748
                   CVE-2020-10693 CVE-2020-10714 CVE-2020-10718
                   CVE-2020-10740 CVE-2020-10758 CVE-2020-14297
                   CVE-2020-14307
========================================================== =====================

1. Resumo:

Uma atualização agora está disponível para a construção do Red Hat do Thorntail.

A Red Hat Product Security classificou esta atualização como tendo um impacto de segurança
de importante. Uma pontuação básica do Common Vulnerability Scoring System (CVSS),
que dá uma classificação de gravidade detalhada, está disponível para cada
vulnerabilidade. Para obter mais informações, consulte os links CVE nas Referências
seção.

2. Descrição:

Esta versão do Red Hat build do Thorntail 2.7.1 inclui atualizações de segurança,
correções de bugs e melhorias. Para obter mais informações, consulte as notas de lançamento
listados na seção de referências.

Correção (ões) de segurança:

* EAP: o nome do campo não é analisado de acordo com RFC7230 (CVE-2020-1710)

* Wildfly: problema de autorização inadequada no WildFlySecurityManager quando
usando domínio de proteção alternativo (CVE-2020-1748)

* keycloak: cabeçalhos de segurança ausentes nos endpoints REST (CVE-2020-1728)

* wildfly-elytron: fixação de sessão ao usar autenticação FORM
(CVE-2020-10714)

* hibernate-validator: validação de entrada inadequada na interpolação de
mensagens de erro de restrição (CVE-2020-10693)

* wildfly: configuração exposta de TCCL por meio da API EmbeddedManagedProcess
(CVE-2020-10718)

* wildfly: desserialização insegura em Wildfly Enterprise Java Beans
(CVE-2020-10740)

* wildfly: EJB SessionOpenInvocations não pode ser removido adequadamente após um
resposta é recebida causando negação de serviço (CVE-2020-14307)

* keycloak: DoS enviando várias solicitações simultâneas com um
O valor do cabeçalho Content-Length é maior que a contagem real de bytes do corpo da solicitação
(CVE-2020-10758)

* wildfly: Alguns objetos de transação EJB podem ser acumulados causando Negação
de serviço (CVE-2020-14297)

Para obter mais detalhes sobre os problemas de segurança e seu impacto, o CVSS
pontuação, agradecimentos e outras informações relacionadas, consulte as páginas CVE
listados na seção de referências.

3. Solução:

Antes de aplicar a atualização, faça backup de sua instalação existente, incluindo
todos os aplicativos, arquivos de configuração, bancos de dados e configurações de banco de dados, e
em breve.

A seção de referências desta errata contém um link de download para o
atualizar. Você deve estar logado para baixar a atualização.

4. Bugs corrigidos (https://bugzilla.redhat.com/):

1793970 - CVE-2020-1710 EAP: nome do campo não é analisado de acordo com RFC7230
1800585 - CVE-2020-1728 keycloak: cabeçalhos de segurança ausentes nos endpoints REST
1805501 - CVE-2020-10693 hibernate-validator: validação de entrada inadequada na interpolação de mensagens de erro de restrição
1807707 - CVE-2020-1748 Wildfly: problema de autorização inadequada em WildFlySecurityManager ao usar domínio de proteção alternativo
1825714 - CVE-2020-10714 wildfly-elytron: fixação de sessão ao usar autenticação FORM
1828476 - CVE-2020-10718 wildfly: configuração exposta de TCCL por meio da API EmbeddedManagedProcess
1834512 - CVE-2020-10740 wildfly: desserialização insegura em Wildfly Enterprise Java Beans
1843849 - CVE-2020-10758 keycloak: DoS enviando várias solicitações simultâneas com um valor de cabeçalho Content-Length maior do que a contagem de bytes real do corpo da solicitação
1851327 - CVE-2020-14307 wildfly: EJB SessionOpenInvocations pode não ser removido corretamente depois que uma resposta é recebida causando negação de serviço
1853595 - CVE-2020-14297 wildfly: Alguns objetos de transação EJB podem ser acumulados causando negação de serviço

5. Referências:

https://access.redhat.com/security/cve/CVE-2020-1710
https://access.redhat.com/security/cve/CVE-2020-1728
https://access.redhat.com/security/cve/CVE-2020-1748
https://access.redhat.com/security/cve/CVE-2020-10693
https://access.redhat.com/security/cve/CVE-2020-10714
https://access.redhat.com/security/cve/CVE-2020-10718
https://access.redhat.com/security/cve/CVE-2020-10740
https://access.redhat.com/security/cve/CVE-2020-10758
https://access.redhat.com/security/cve/CVE-2020-14297
https://access.redhat.com/security/cve/CVE-2020-14307
https://access.redhat.com/security/updates/classification/#important
https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?downloadType=distributions&product=catRhoar.thorntail&version=2.7.1
https://access.redhat.com/documentation/en-us/red_hat_build_of_thorntail/2.7/html/release_notes_for_thorntail_2.7/

6. Contato:

O contato de segurança da Red Hat é . Mais contato
detalhes em https://access.redhat.com/security/team/contact/

Copyright 2020 Red Hat, Inc.
----- BEGIN PGP SIGNATURE -----
Versão: GnuPG v1

iQIVAwUBX09qYtzjgjWX9erEAQgbFg / + OeMlv2yO3eadphDh621Ct3ETCoVubJyt
zGltirtZItgiBaEPOI0jd19JxHIAtsGZzPHv0X8BfKe8PbPWCkBxxKGo / fDKmuOw
6orop2EJxTLe + HcaUK2JfvRtMHnNDiMky9EUJS0JkVqaNCLPiHcEBg1aKDPwm0rm
hSH7LrCiXAOHLHhJFeLEtBpVaxtbrKT8X7ShlLpnhEWzYcR5sLT6FiZoYIH + 0NOj
yoAr8kAWxp4z5NaAxnX4D8xfHdjLK4YBUCjF7EmFPEqEblJ65j7R2FQcK5fDXgx7
56xj1PpvOgS8M66DhfT8ltSr6hFod27q8Xm4MOijcHtWWJKPwg + 6fQOhtHfprb + 2
Oo51 / FQjCt7NBsmRl3yec + pg2YMS6jbpZ1EeWTDvC0j1sZCZrUGV + 8MY2n4SbJy +
94di / iO8j1reYKKw37p + XxJSCh / AM2n0Ah / Ekam + ptrHFx + 6JRZcLmiT2gy2jA0Z
ODijwB / T1KoZoo + YBGpPnGXvt2ZnlRX + yYa2QanC1befJf5koUl5vboXhUQJ97Al
H46NI8nIer / wOnfuG42m + o0VMXmy9ikiEY4VJhfS9N5qmLKL + xGdx1K4ul + uBIVt
tBzawCPXS2QKI5lcqZxJG + adTpnJKF5Pblt2xv5ZV1mHZipSgaxlRgp5JDxbvzkN
A / PCzYEL428 =
= pd0S
----- FIM DA ASSINATURA PGP -----

-
RHSA-announce mailing list
RHSA-announce@redhat.com
https://www.redhat.com/mailman/listinfo/rhsa-announce


Fonte

Até a próxima !!

Nenhum comentário:

Postar um comentário