云安全日报201222：红帽OpenShift云应用平台发现执行任意命令漏洞，需要尽快升级

Red Hat OpenShift Container Platform(红帽OpenShift容器平台)是美国红帽（Red Hat）公司的一套可帮助企业在物理、虚拟和公共云基础架构之间开发、部署和管理现有基于容器的应用程序的应用平台。它采用企业级Kubernetes技术构建,专为内部部署或私有云部署而设计,可以实现全堆栈自动化运维，以管理混合云和多云部署。

12月21日,RedHat发布了安全更新，修复了红帽OpenShift容器平台中发现的一些重要漏洞。以下是漏洞详情：

漏洞详情

来源：https://access.redhat.com/errata/RHSA-2020:5614

1.CVE-2020-15862 CVSS评分：8.8 严重程度：高

该漏洞是由于SNMP对EXTEND MIB的访问允许以root身份运行任意命令而导致的不正确特权管理问题。此漏洞面临的最大威胁是机密性，完整性和系统可用性。

2.CVE-2020-27836 CVSS评分：8.1 严重程度：高

在群集入口运算符中存在一个漏洞。更改路由器默认服务仅允许某些IP源范围的方式可能会导致攻击者访问原本会限制在指定IP范围内的资源。此漏洞带来的最大威胁是对数据机密性和完整性以及系统可用性的威胁

3.CVE-2020-1971 CVSS评分：5.9 严重程度：中

在openssl中发现了空指针取消引用漏洞。远程攻击者能够控制GENERAL_NAME_cmp函数的参数，可能会导致使用openssl编译的应用程序崩溃，从而导致拒绝服务。此漏洞带来的最大威胁是对系统可用性的威胁。

4.CVE-2020-8177 CVSS评分：5.4 严重程度：中

使用某些命令行选项组合时，可能会覆盖本地文件。向恶意服务器请求内容可能会导致本地文件被破坏文件覆盖，从而导致未知结果。此漏洞带来的最大威胁是文件完整性。

5.CVE-2020-16166 CVSS评分：3.7 严重程度：中低

在Linux内核中发现了一个漏洞。从网络RNG内部状态生成设备ID是可以预测的。此漏洞带来的最大威胁是对数据机密性的威胁。

受影响产品和版本

Red Hat OpenShift Container Platform 4.6 for RHEL 8 x86_64

Red Hat OpenShift Container Platform for Power 4.6 for RHEL 8 ppc64le

Red Hat OpenShift Container Platform for IBM Z and LinuxONE 4.6 for RHEL 8 s390x

解决方案

对于OpenShift Container Platform 4.6,请参阅以下文档，该文档将在此发行版中不久更新，以获取有关如何升级群集并完全应用此异步勘误更新的重要说明：

https://docs.openshift.com/container-platform/4.6/release_notes/ocp-4-6-release-notes.html

有关如何访问此内容的详细信息，请访问

https://docs.openshift.com/container-platform/4.6/updating/updating-cluster-cli.html。

查看更多漏洞信息 以及升级请访问官网：

https://access.redhat.com/security/security-updates/#/security-advisories