Confira !!
Uma atualização está agora disponível para suporte Red Hat para Spring Boot. A Red Hat Product Security classificou esta atualização como tendo um impacto de segurança de Importante. Uma pontuação básica do Common Vulnerability Scoring System (CVSS), que dá uma classificação de gravidade detalhada, está disponível para cada
----- BEGIN PGP ASSIGNED MESSAGE -----
Hash: SHA256
========================================================== =====================
Aviso de segurança da Red Hat
Sinopse: Importante: Suporte do Red Hat para atualização de segurança Spring Boot 2.2.11
ID consultivo: RHSA-2020: 5388-01
Produto: Red Hat OpenShift Application Runtimes
URL de aviso: https://access.redhat.com/errata/RHSA-2020:5388
Data de emissão: 2021-01-07
Nomes CVE: CVE-2020-11996 CVE-2020-25638
========================================================== =====================
1. Resumo:
Uma atualização está agora disponível para suporte Red Hat para Spring Boot.
A Red Hat Product Security classificou esta atualização como tendo um impacto de segurança
de importante. Uma pontuação básica do Common Vulnerability Scoring System (CVSS),
que dá uma classificação de gravidade detalhada, está disponível para cada
vulnerabilidade. Para obter mais informações, consulte os links CVE nas Referências
seção.
2. Descrição:
O suporte da Red Hat para Spring Boot fornece uma plataforma de aplicativo que
reduz a complexidade do desenvolvimento e operação de aplicativos (monólitos
e microsserviços) para OpenShift como uma plataforma em contêiner.
Esta versão do suporte do Red Hat para Spring Boot 2.2.11 serve como um
substituto para o suporte Red Hat para Spring Boot 2.2.10, e inclui
segurança e correções de bugs e melhorias. Para obter mais informações, consulte o
notas de versão listadas na seção Referências.
Correção (ões) de segurança:
* hibernate-core: vulnerabilidade de injeção de SQL quando ambos
hibernate.use_sql_comments e literais de string JPQL são usados
(CVE-2020-25638)
* tomcat: sequência especialmente criada de solicitações HTTP / 2 pode levar a DoS
(CVE-2020-11996)
Para obter mais detalhes sobre os problemas de segurança e seu impacto, o CVSS
pontuação, agradecimentos e outras informações relacionadas, consulte as páginas CVE
listados na seção de referências.
3. Solução:
Antes de aplicar a atualização, faça backup de sua instalação existente, incluindo
todos os aplicativos, arquivos de configuração, bancos de dados e configurações de banco de dados, e
em breve.
A seção de referências desta errata contém um link de download para o
atualizar. Você deve estar logado para baixar a atualização.
4. Bugs corrigidos (https://bugzilla.redhat.com/):
1851420 - tomcat CVE-2020-11996: sequência especialmente criada de solicitações HTTP / 2 pode levar a DoS
1881353 - CVE-2020-25638 hibernate-core: vulnerabilidade de injeção de SQL quando hibernate.use_sql_comments e literais de string JPQL são usados
5. Referências:
https://access.redhat.com/security/cve/CVE-2020-11996
https://access.redhat.com/security/cve/CVE-2020-25638
https://access.redhat.com/security/updates/classification/#important
https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?downloadType=distributions&product=catRhoar.spring.boot&version=2.2.11
https://access.redhat.com/documentation/en-us/red_hat_support_for_spring_boot/2.2/
6. Contato:
O contato de segurança da Red Hat é . Mais contato
detalhes em https://access.redhat.com/security/team/contact/
Copyright 2021 Red Hat, Inc.
----- BEGIN PGP SIGNATURE -----
Versão: GnuPG v1
iQIVAwUBX / b1etzjgjWX9erEAQjZcQ / 9G5Y11zAGobjakM8dwlbHwBuYCRHSpKRW
JjwwtG9cWL / GYN8 + x / AZwDwehODarYPaDW + 3bmwgGhRFy9JZdWFQ7lOdT / 9Co4wb
mj / xpdOe7xZ9weqeaJZW / iw3TzH0V0puz6fklpZjMpZrglyxWYedBlsMp8x786Yf
juHL9iG18XQP1w4CB5a + 86tp06 / xHBfPlnaxA8V9ULFHPKoIZzPCXDMXNVgO49yc
bvn3xvYPmC3g0jb281mT9R2Kw0KC83azJyw8LlojfyKCcAq7JOeWRmNA0l3Nipdb
iSRrkrBU52zAk4BmXAGwITJP4xOIdwlDyQvrqCVpqL76CLWVDXPRpA9Xj6 + Nj1s0
uXvU + lww71SuUDMB9U7YniY6qr34oEOfBXB9stPNkpN / MpeO6woMPHNUZI8g5QT0
IIuOKUQRTUGz920J + yCF9RdXaWSJmTA8lxzbP7FHTYbNOnLTBOjrjBOd9Zp6bk / 6
sXr2LxQPowPhi4Pa / Mzs6fkI2XYoIfJVNb62rPpT9HfpsvLJDa6PbOhj1vaodohR
kICRSqV243C + v7DYzIcKRgYp + As5LfisOt3IOd1KPN71OFcdeJSaK4DcTEeWQYI2
JT6gWKsrcl82Hv6XxNQ0QGy + 4iMAaTbUhygtNvF + E64fAAIii4e2ISnJDWSRpXx4
h87fw1ApUvM =
= dmJO
----- FIM DA ASSINATURA PGP -----
-
RHSA-announce mailing list
https://www.redhat.com/mailman/listinfo/rhsa-announce
Até a próxima !!
Nenhum comentário:
Postar um comentário