Confira !!
Uma atualização de segurança agora está disponível para o Red Hat Single Sign-On 7.4 no Portal do Cliente. A Red Hat Product Security classificou esta atualização como tendo um impacto de segurança de Moderado. Uma pontuação básica do Common Vulnerability Scoring System (CVSS), que
----- BEGIN PGP ASSIGNED MESSAGE -----
Hash: SHA256
========================================================== =====================
Aviso de segurança da Red Hat
Sinopse: Moderado: atualização de segurança do Red Hat Single Sign-On 7.4.6
ID consultivo: RHSA-2021: 0974-01
Produto: Red Hat Single Sign-On
URL de aviso: https://access.redhat.com/errata/RHSA-2021:0974
Data de emissão: 2021-03-23
Nomes CVE: CVE-2020-7676 CVE-2020-8908 CVE-2020-14302
CVE-2020-28052 CVE-2020-35510 CVE-2021-20220
CVE-2021-20250
========================================================== =====================
1. Resumo:
Uma atualização de segurança agora está disponível para o Red Hat Single Sign-On 7.4 da
Portal do cliente.
A Red Hat Product Security classificou esta atualização como tendo um impacto de segurança
de moderado. Uma pontuação básica do Common Vulnerability Scoring System (CVSS), que
fornece uma classificação de gravidade detalhada, está disponível para cada vulnerabilidade de
o (s) link (s) CVE na seção Referências.
2. Descrição:
O Red Hat Single Sign-On 7.4 é um servidor autônomo, baseado no Keycloak
projeto, que fornece autenticação e logon único baseado em padrões
recursos para web e aplicativos móveis.
Esta versão do Red Hat Single Sign-On 7.4.6 serve como um substituto para
Red Hat Single Sign-On 7.4.5, e inclui correções de bugs e melhorias,
que estão documentados no documento de notas de versão vinculado ao
Referências.
Correção (ões) de segurança:
* bouncycastle: ignorar senha no utilitário OpenBSDBCrypt.checkPassword
possível (CVE-2020-28052)
* nodejs-angular: XSS devido à substituição de HTML baseada em regex (CVE-2020-7676)
* jboss-remoting: Threads se mantêm indefinidamente no servidor EJB ao suprimir
o ack de um cliente EJB (CVE-2020-35510)
* ressaca: Possível regressão na correção para CVE-2020-10687 (CVE-2021-20220)
* wildfly: divulgação de informações devido a privilégios de acesso público
ações no cliente JBoss EJB (CVE-2021-20250)
* goiaba: divulgação de informações locais por meio de diretório temporário criado com
permissões inseguras (CVE-2020-8908)
* keycloak: parâmetro reutilizável de "estado" no endpoint redirect_uri habilita
possibilidade de ataques de repetição (CVE-2020-14302)
Para obter mais detalhes sobre os problemas de segurança, incluindo o impacto, um CVSS
pontuação, agradecimentos e outras informações relacionadas, consulte o CVE
página (s) listada (s) na seção Referências.
3. Solução:
Antes de aplicar a atualização, faça backup de sua instalação existente, incluindo
todos os aplicativos, arquivos de configuração, bancos de dados e configurações de banco de dados, e
em breve.
A seção de Referências desta errata contém um link para download (você deve
faça login para baixar a atualização).
4. Bugs corrigidos (https://bugzilla.redhat.com/):
1849206 - CVE-2020-7676 nodejs-angular: XSS devido à substituição de HTML baseada em regex
1849584 - CVE-2020-14302 keycloak: parâmetro de "estado" reutilizável no endpoint redirect_uri permite a possibilidade de ataques de repetição
1905796 - CVE-2020-35510 jboss-remoting: Threads permanecem para sempre no servidor EJB suprimindo o ack de um cliente EJB
1906919 - CVE-2020-8908 goiaba: divulgação de informações locais por meio de diretório temporário criado com permissões inseguras
1912881 - CVE-2020-28052 bouncycastle: é possível ignorar a senha no utilitário OpenBSDBCrypt.checkPassword
1923133 - ressaca CVE-2021-20220: possível regressão na correção para CVE-2020-10687
1929479 - CVE-2021-20250 wildfly: divulgação de informações devido a ações privilegiadas acessíveis ao público no cliente JBoss EJB
5. Referências:
https://access.redhat.com/security/cve/CVE-2020-7676
https://access.redhat.com/security/cve/CVE-2020-8908
https://access.redhat.com/security/cve/CVE-2020-14302
https://access.redhat.com/security/cve/CVE-2020-28052
https://access.redhat.com/security/cve/CVE-2020-35510
https://access.redhat.com/security/cve/CVE-2021-20220
https://access.redhat.com/security/cve/CVE-2021-20250
https://access.redhat.com/security/updates/classification/#moderate
https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=core.service.rhsso&downloadType=securityPatches&version=7.4
https://access.redhat.com/documentation/en-us/red_hat_single_sign-on/7.4/
6. Contato:
O contato de segurança da Red Hat é . Mais contato
detalhes em https://access.redhat.com/security/team/contact/
Copyright 2021 Red Hat, Inc.
----- INICIAR ASSINATURA PGP -----
Versão: GnuPG v1
iQIVAwUBYFn45tzjgjWX9erEAQg + fxAAn32fXM3qcJfEbR4Cw2r0YJHxaDsJnW2s
AnhFbAqKJ8456CVDp5U2TeMir0ol0fa341TkZR1yY7ZewXJ4TBjoKII5t5xg9d3a
QK1tbPdhjH1cQXtO2mKd9uJkiWhCiGCiHP8u66 + B8Su9yfsKufzN8L6IymU1KWRH
sfVXwDiD4p1j7b4jHzKH / eRgawRUjwzKNbYQyDsWZQaG5AB8gcSbBb9xB2Ao5LGF
5wwwBh7Dwp + mv8avZPReQAcOKsOhsPJUzGgKw7GuoHVcC0ebGmiFmeKdGH6fp3oL
2mizHxSz2CYaZpa92gqXOfF2 + 589jvtmZITLpxCKsHrLFzdJFWO / BfVGE5ope4 / v
FVg7zLKRceMpsbKGV / + 9EjteDWuJIN5Pmx7dgjBWvevMrGXQxxmFaY3ceQk00gzc
7I / QseunDrBKkhbqwBgzRYB9722ed2GKv3cMatjD7igRenGmi9HQpx7F + GvGifE3
L + 2WVn2VIpjI + s6ET3eAgju1vagkezJOifAVp1MJJ1MWZuKntxj4H0TB + 88BtzNJ
54bL + R5OZhc0vmCE5VtjMZwamc7umRzjef43GUYZNG7dMLMAHRE5aRpMLSni9R2l
1TCfjFXRcno2v / xRNIObAW4BJpY8GqnxOBapw5RwBGeIA + lH2nrVrblpuFVG37HR
AyZ4UFtY23c =
= l / 2h
----- FIM DA ASSINATURA PGP -----
-
RHSA-announce mailing list
https://listman.redhat.com/mailman/listinfo/rhsa-announce
Até a próxima !!
Nenhum comentário:
Postar um comentário