9VSA21-00433-01 CSIRT alerta de vulnerabilidades en varios productos de Red Hat

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT de Gobierno, comparte información sobre una vulnerabilidad crítica en varios productos de Red Hat.

Este informe incluye las medidas de mitigación, consistentes en instalar la última actualización de los productos afectados.

Vulnerabilidades

CVE-2021-20305

CVE-2019-3884

CVE-2020-6829

CVE-2020-8566

CVE-2020-12400

CVE-2020-12403

CVE-2020-14372

CVE-2020-15157

CVE-2020-25632

CVE-2020-25647

CVE-2020-25658

CVE-2020-27749

CVE-2020-27779

CVE-2020-28362

CVE-2021-3121

CVE-2021-3449

CVE-2021-3450

CVE-2021-20225

CVE-2021-20233

CVE-2021-20305

CVE-2020-25648

CVE-2020-25692

CVE-2021-3449

CVE-2021-3450

CVE-2020-25678

CVE-2021-3139

CVE-2020-12723

CVE-2021-23961

CVE-2021-23994

CVE-2021-23995

CVE-2021-23998

CVE-2021-23999

CVE-2021-24002

CVE-2021-29945

CVE-2021-29946

CVE-2021-29948 

Impactos

Vulnerabilidades de riesgo alto:

CVE-2021-23994: Esta vulnerabilidad permite a un atacante remoto comprometer el sistema objetivo. La vulnerabilidad tiene lugar debido a un error de límites de memoria al procesar input en WebGL.

CVE-2021-23995: Esta vulnerabilidad permite a un atacante remoto comprometer el sistema objetivo. La vulnerabilidad tiene lugar debido a un error de límites de memoria al procesar input cuando el Responsive Design Mode está activado.

CVE-2021-20305: Un error en Nettle de Red Hat Enterprise permite a un atacante forzar una firma inválida, pudiendo someter al sistema objetivo a pérdida de información confidencialidad y de la integridad de sus datos, además de comprometer la disponibilidad del sistema.

CVE-2021-3449: Es producida por un error en openssl. Afecta principalmente la disponibilidad de los sistemas.

CVE-2021-3450: Es producida por un error en openssl. Afecta principalmente la confidencialidad e integridad de los datos.

CVE-2021-3139: Afecta principalmente la integridad de los datos.

CVE-2021-25215: Un error en bind afecta principalmente a la disponibilidad de los sistemas.

Productos Afectados                                                                       

thunderbird (Red Hat package): 78.3.1-1.el7_9 al 78.9.1-1.el7_9

Red Hat Enterprise Linux for x86_64 8 x86_64

Red Hat Enterprise Linux for IBM z Systems 8 s390x

Red Hat Enterprise Linux for Power, little endian 8 ppc64le

Red Hat Enterprise Linux for ARM 64 8 aarch64

Red Hat Enterprise Linux Server 7 x86_64

Red Hat Enterprise Linux Desktop 7

Red Hat Enterprise Linux Workstation 7

Red Hat Enterprise Linux for IBM z Systems 7 s390x

Red Hat Enterprise Linux for Power, little endian 7 ppc64le

Red Hat Enterprise Linux for Power, little endian – Extended Update Support: 8.1

Red Hat Enterprise Linux for x86_64 – Extended Update Support: 8.1

Red Hat Enterprise Linux Server – Update Services for SAP Solutions: 8.1

Red Hat Enterprise Linux Server (for IBM Power LE) – Update Services for SAP Solutions: 8.1

Red Hat OpenShift Container Platform 4.3 a 4.6 para RHEL 8 x86_64

Red Hat OpenShift Container Platform for Power 4.3 a 4.6 para RHEL 8 ppc64le

Red Hat OpenShift Container Platform for IBM Z and LinuxONE 4.3 a 4.6 para RHEL 8 s390x

Red Hat Ceph Storage MON 4 for RHEL 8 x86_64

Red Hat Ceph Storage MON 4 for RHEL 7 x86_64

Red Hat Ceph Storage OSD 4 for RHEL 8 x86_64

Red Hat Ceph Storage OSD 4 for RHEL 7 x86_64

Red Hat Ceph Storage for Power 4 for RHEL 7 y 8 ppc64le

Red Hat Ceph Storage MON for Power 4 for RHEL 7 y 8 ppc64le

Red Hat Ceph Storage OSD for Power 4 for RHEL 7 y 8 ppc64le

Red Hat Ceph Storage for IBM z Systems 4 s390x

Red Hat Ceph Storage MON for IBM z Systems 4 s390x

Red Hat Ceph Storage OSD for IBM z Systems 4 s390x

Mitigación

Instalar las respectivas actualizaciones desde el sitio web del proveedor.

Enlaces

https://access.redhat.com/errata/RHBA-2021:1438

https://access.redhat.com/errata/RHSA-2021:1206

https://access.redhat.com/errata/RHSA-2021:1452

https://access.redhat.com/errata/RHSA-2021:1469

https://access.redhat.com/errata/RHSA-2021:1350

https://access.redhat.com/errata/RHSA-2021:1351

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-20305

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-3884

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6829

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8566

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-12400

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-12403

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14372

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15157

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-25632

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-25647

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-25658

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-27749

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-27779

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-28362

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3121

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3449

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3450

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-20225

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-20233

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-20305

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-25648

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-25692

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3449

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3450

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-25678

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3139

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-12723

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-23961

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-23994

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-23995

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-23998

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-23999

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-24002

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-29945

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-29946

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-29948

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA21-00433-01.

9VSA21-00433-01 CSIRT alerta de vulnerabilidades en varios productos de Red Hat