FERRAMENTAS LINUX: Atualização moderada de segurança da RedHat para o Single Sign-On 7.4.6, aviso RedHat: RHSA-2021-0974: 01

terça-feira, 23 de março de 2021

Atualização moderada de segurança da RedHat para o Single Sign-On 7.4.6, aviso RedHat: RHSA-2021-0974: 01

 

Confira !!

Uma atualização de segurança agora está disponível para o Red Hat Single Sign-On 7.4 no Portal do Cliente. A Red Hat Product Security classificou esta atualização como tendo um impacto de segurança de Moderado. Uma pontuação básica do Common Vulnerability Scoring System (CVSS), que

----- BEGIN PGP ASSIGNED MESSAGE -----

Hash: SHA256


========================================================== =====================

                   Aviso de segurança da Red Hat


Sinopse: Moderado: atualização de segurança do Red Hat Single Sign-On 7.4.6

ID consultivo: RHSA-2021: 0974-01

Produto: Red Hat Single Sign-On

URL de aviso: https://access.redhat.com/errata/RHSA-2021:0974

Data de emissão: 2021-03-23

Nomes CVE: CVE-2020-7676 CVE-2020-8908 CVE-2020-14302 

                   CVE-2020-28052 CVE-2020-35510 CVE-2021-20220 

                   CVE-2021-20250 

========================================================== =====================


1. Resumo:


Uma atualização de segurança agora está disponível para o Red Hat Single Sign-On 7.4 da

Portal do cliente.


A Red Hat Product Security classificou esta atualização como tendo um impacto de segurança

de moderado. Uma pontuação básica do Common Vulnerability Scoring System (CVSS), que

fornece uma classificação de gravidade detalhada, está disponível para cada vulnerabilidade de

o (s) link (s) CVE na seção Referências.


2. Descrição:


O Red Hat Single Sign-On 7.4 é um servidor autônomo, baseado no Keycloak

projeto, que fornece autenticação e logon único baseado em padrões

recursos para web e aplicativos móveis.


Esta versão do Red Hat Single Sign-On 7.4.6 serve como um substituto para

Red Hat Single Sign-On 7.4.5, e inclui correções de bugs e melhorias,

que estão documentados no documento de notas de versão vinculado ao

Referências.


Correção (ões) de segurança:


* bouncycastle: ignorar senha no utilitário OpenBSDBCrypt.checkPassword

possível (CVE-2020-28052)


* nodejs-angular: XSS devido à substituição de HTML baseada em regex (CVE-2020-7676)


* jboss-remoting: Threads se mantêm indefinidamente no servidor EJB ao suprimir

o ack de um cliente EJB (CVE-2020-35510)


* ressaca: Possível regressão na correção para CVE-2020-10687 (CVE-2021-20220)


* wildfly: divulgação de informações devido a privilégios de acesso público

ações no cliente JBoss EJB (CVE-2021-20250)


* goiaba: divulgação de informações locais por meio de diretório temporário criado com

permissões inseguras (CVE-2020-8908)


* keycloak: parâmetro reutilizável de "estado" no endpoint redirect_uri habilita

possibilidade de ataques de repetição (CVE-2020-14302)


Para obter mais detalhes sobre os problemas de segurança, incluindo o impacto, um CVSS

pontuação, agradecimentos e outras informações relacionadas, consulte o CVE

página (s) listada (s) na seção Referências.


3. Solução:


Antes de aplicar a atualização, faça backup de sua instalação existente, incluindo

todos os aplicativos, arquivos de configuração, bancos de dados e configurações de banco de dados, e

em breve.


A seção de Referências desta errata contém um link para download (você deve

faça login para baixar a atualização).


4. Bugs corrigidos (https://bugzilla.redhat.com/):


1849206 - CVE-2020-7676 nodejs-angular: XSS devido à substituição de HTML baseada em regex

1849584 - CVE-2020-14302 keycloak: parâmetro de "estado" reutilizável no endpoint redirect_uri permite a possibilidade de ataques de repetição

1905796 - CVE-2020-35510 jboss-remoting: Threads permanecem para sempre no servidor EJB suprimindo o ack de um cliente EJB

1906919 - CVE-2020-8908 goiaba: divulgação de informações locais por meio de diretório temporário criado com permissões inseguras

1912881 - CVE-2020-28052 bouncycastle: é possível ignorar a senha no utilitário OpenBSDBCrypt.checkPassword

1923133 - ressaca CVE-2021-20220: possível regressão na correção para CVE-2020-10687

1929479 - CVE-2021-20250 wildfly: divulgação de informações devido a ações privilegiadas acessíveis ao público no cliente JBoss EJB


5. Referências:


https://access.redhat.com/security/cve/CVE-2020-7676

https://access.redhat.com/security/cve/CVE-2020-8908

https://access.redhat.com/security/cve/CVE-2020-14302

https://access.redhat.com/security/cve/CVE-2020-28052

https://access.redhat.com/security/cve/CVE-2020-35510

https://access.redhat.com/security/cve/CVE-2021-20220

https://access.redhat.com/security/cve/CVE-2021-20250

https://access.redhat.com/security/updates/classification/#moderate

https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=core.service.rhsso&downloadType=securityPatches&version=7.4

https://access.redhat.com/documentation/en-us/red_hat_single_sign-on/7.4/


6. Contato:


O contato de segurança da Red Hat é . Mais contato

detalhes em https://access.redhat.com/security/team/contact/


Copyright 2021 Red Hat, Inc.

----- INICIAR ASSINATURA PGP -----

Versão: GnuPG v1


iQIVAwUBYFn45tzjgjWX9erEAQg + fxAAn32fXM3qcJfEbR4Cw2r0YJHxaDsJnW2s

AnhFbAqKJ8456CVDp5U2TeMir0ol0fa341TkZR1yY7ZewXJ4TBjoKII5t5xg9d3a

QK1tbPdhjH1cQXtO2mKd9uJkiWhCiGCiHP8u66 + B8Su9yfsKufzN8L6IymU1KWRH

sfVXwDiD4p1j7b4jHzKH / eRgawRUjwzKNbYQyDsWZQaG5AB8gcSbBb9xB2Ao5LGF

5wwwBh7Dwp + mv8avZPReQAcOKsOhsPJUzGgKw7GuoHVcC0ebGmiFmeKdGH6fp3oL

2mizHxSz2CYaZpa92gqXOfF2 + 589jvtmZITLpxCKsHrLFzdJFWO / BfVGE5ope4 / v

FVg7zLKRceMpsbKGV / + 9EjteDWuJIN5Pmx7dgjBWvevMrGXQxxmFaY3ceQk00gzc

7I / QseunDrBKkhbqwBgzRYB9722ed2GKv3cMatjD7igRenGmi9HQpx7F + GvGifE3

L + 2WVn2VIpjI + s6ET3eAgju1vagkezJOifAVp1MJJ1MWZuKntxj4H0TB + 88BtzNJ

54bL + R5OZhc0vmCE5VtjMZwamc7umRzjef43GUYZNG7dMLMAHRE5aRpMLSni9R2l

1TCfjFXRcno2v / xRNIObAW4BJpY8GqnxOBapw5RwBGeIA + lH2nrVrblpuFVG37HR

AyZ4UFtY23c =

= l / 2h

----- FIM DA ASSINATURA PGP -----


-

RHSA-announce mailing list

RHSA-announce@redhat.com

https://listman.redhat.com/mailman/listinfo/rhsa-announce






Fonte

Até a próxima !!

Nenhum comentário:

Postar um comentário