Contáctanos al
1510
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT de Gobierno, comparte vulnerabilidades que afectan a varios productos de Red Hat.
Este informe incluye las medidas de mitigación, consistentes en instalar la última actualización de los productos afectados.
Vulnerabilidades
CVE-2015-8011
CVE-2020-15586
CVE-2020-16845
CVE-2020-25648
CVE-2020-25692
CVE-2020-27813
CVE-2020-27827
CVE-2020-28362
CVE-2020-35498
CVE-2021-20305
CVE-2021-21290
CVE-2021-21295
CVE-2021-25215
CVE-2021-30465
CVE-2021-3114
CVE-2021-3115
CVE-2021-3121
CVE-2021-31921
CVE-2021-3424
CVE-2021-3461
CVE-2021-3557
Impactos
Como de impacto importante fueron consideradas las siguientes vulnerabilidades.
CVE-2021-31921: Esta vulnerabilidad de evasión de autorización fue hallada en istio. Permite a un usuario malicioso evadir los chequeos de autorización y ganar acceso a servicios protegidos. La mayor amenaza que involucra esta vulnerabilidad es a la confidencialidad de los datos y su integridad, además a la disponibilidad del sistema.
CVE-2021-3121: Un error en github.com/gogo/protobuf antes de la versión 1.3.2. permite acceso fuera de límites y así, que un atacante remoto pueda enviar mensajes protobuf, causando pánico y resultando en denegación de servicio, amenazando su disponibilidad.
CVE-2021-30465: El paquete runc es vulnerable a un ataque de cambio de symlink, en el cual un atacante puede solicitar una configuración de container aparentemente inocua que resulte en la pérdida de confidencialidad de los datos, su integridad y la disponibilidad del sistema.
CVE-2015-8011: Un desborde de buffer fue encontrado en la función lldp_decode en daemon/protocols/lldp.c in lldpd. Este error permite a atacantes remotos provocar denegación de servicio y posiblemente ejecutar código arbitrario, amenazando la confidencialidad, integridad y disponibilidad del sistema.
CVE-2020-35498: Una vulnerabilidad encontrada en openvswitch, que puede causar denegación de servicio, amenazando la disponibilidad del sistema.
CVE-2021-3557: Una falla fue encontrada en argocd, la que podría permitir a un usuario sin privilegios leer todos los recursos de un cluster, incluyendo secretos que permitan escalamiento de privilegios, amenazando la confidencialidad de los datos.
CVE-2021-20305: Un error encontrado en Nettle permite a un atacante forzar una firma inválida, causando una posible validación. La mayor amenaza es a la confidencialidad, integridad y disponibilidad del sistema.
CVE-2021-25215: Una falla encontrada en bind puede amenazar la disponibilidad del sistema.
Productos Afectados
Red Hat OpenShift Container Platform 4.7.12.
Red Hat OpenShift Container Platform 4.7 for RHEL 7 x86_64
Red Hat OpenShift Container Platform 4.7 for RHEL 8 x86_64
Red Hat OpenShift Container Platform for Power 4.7 for RHEL 8 ppc64le
Red Hat OpenShift Container Platform for IBM Z and LinuxONE 4.7 for RHEL 8 s390x
Red Hat Openshift Serverless 1 x86_64
Red Hat OpenShift Service Mesh 1.1 for RHEL 8 x86_64
Red Hat OpenShift Service Mesh for Power 1.1 for RHEL 8 ppc64le
Red Hat OpenShift Service Mesh for IBM Z 1.1 for RHEL 8 s390x
Red Hat Enterprise Linux Fast Datapath 7 x86_64
Red Hat Virtualization – Extended Update Support 4.2 for RHEL 7.6 x86_64
Red Hat Enterprise Linux Fast Datapath (for RHEL Server for IBM Power LE) 7 ppc64le
Red Hat Enterprise Linux Fast Datapath (for IBM z Systems) 7 s390x
Red Hat Single Sign-On Text-Only Advisories x86_64
Red Hat Single Sign-On 7.4 for RHEL 7 x86_64
Red Hat Single Sign-On 7.4.7 security update on RHEL 8
Red Hat Single Sign-On 7.4.7 security update on RHEL 6
Red Hat OpenShift GitOps 1.1 x86_64
Mitigación
Instalar las respectivas actualizaciones desde el sitio web del proveedor.
Enlaces
https://access.redhat.com/errata/RHSA-2021:1561
https://access.redhat.com/errata/RHSA-2021:1563
https://access.redhat.com/errata/RHSA-2021:1562
https://access.redhat.com/errata/RHSA-2021:2085
https://access.redhat.com/errata/RHSA-2021:2093
https://access.redhat.com/errata/RHSA-2021:2077
https://access.redhat.com/errata/RHSA-2021:2070
https://access.redhat.com/errata/RHSA-2021:2065
https://access.redhat.com/errata/RHSA-2021:2064
https://access.redhat.com/errata/RHSA-2021:2063
https://access.redhat.com/errata/RHSA-2021:2061
https://access.redhat.com/errata/RHSA-2021:2053
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8011
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15586
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-16845
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-25648
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-25692
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-27813
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-27827
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-28362
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-35498
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-20305
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21290
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21295
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25215
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30465
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3114
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3114
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3115
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3121
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-31921
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3424
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3461
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3557
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3557
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA21-00446-01