云安全日报211111:红帽企业高级集群管理解决方案发现重要漏洞,需要尽
Red Hat Advanced Cluster Management是红帽公司的一个控制台集群控制软件这是红帽专为混合云环境设计的IT管理技术产品系列的最新成员,它能帮助企业利用跨混合云和多云环境的企业级管理能力,进一步延伸并扩展红帽OpenShift,使其能够管理多个Kubernetes集群,在确保策略和治理措施执行的同时,实现跨混合云的多集群应用部署
日前,RedHat发布了安全更新,修复了红帽高级集群管理解决方案中发现的一些列重要漏洞。以下是漏洞详情:
漏洞详情
1.CVE—2021—3711 CVSS评分:9.8 严重程度:重要
在 openssl 中发现了一个漏洞在 openssl 的 SM2 解密函数中发现缓冲区大小计算错误,允许在缓冲区外写入多达 62 个任意字节远程攻击者可以利用此漏洞使支持 SM2 签名或加密算法的应用程序崩溃,或者,可能在运行该应用程序的用户的权限下执行任意代码此漏洞的最大威胁是数据机密性和完整性以及系统可用性
2.CVE—2021—3656 CVSS评分:8.8 严重程度:重要
在 KVM 的 AMD 代码中发现了一个用于支持 SVM 嵌套虚拟化的漏洞该漏洞发生在处理 L1 来宾提供的 VMCB以生成/处理嵌套来宾 时由于virt_ext字段验证不当,此漏洞可能允许恶意 L1 禁用 L2 来宾的 VMLOAD/VMSAVE 拦截和 VLS结果,L2 来宾将被允许读/写主机的物理页面,从而导致整个系统崩溃,敏感数据泄漏或潜在的来宾到主机逃逸
3.CVE—2021—23017 CVSS评分:8.1 严重程度:重要
在 nginx 中发现了一个漏洞处理 DNS 响应时的一个差错允许网络攻击者在堆分配的缓冲区中写入越界的点字符,这可能允许覆盖下一个堆块元数据的最低有效字节,这可能会导致远程代码执行情况此漏洞的最大威胁是数据机密性和完整性以及系统可用性
4.CVE—2021—32803 CVSS评分:8.1 严重程度:重要
npm 包tar由于符号链接保护不足而具有任意文件创建/覆盖漏洞`node—tar` 旨在保证不会提取任何位置会被符号链接修改的文件这部分是通过确保提取的目录不是符号链接来实现的此外,为了防止不必要的 `stat` 调用来确定给定的路径是否是目录,在创建目录时会缓存路径
5.CVE—2021—32804 CVSS评分:8.1 严重程度:重要
由于绝对路径清理不足,npm 包tar具有任意文件创建/覆盖漏洞node—tar 旨在通过在 `preservePaths` 标志未设置为 `true` 时将绝对路径转换为相对路径来防止提取绝对文件路径这是通过从包含在 tar 文件中的任何绝对文件路径中剥离绝对路径根来实现的
6.CVE—2020—36385 CVSS评分:7.8 严重程度:重要
在用于 RDMA的Linux内核用户空间连接管理器访问中发现了一个漏洞这可能允许本地攻击者使系统崩溃,损坏内存或提升权限
7.CVE—2021—0512 CVSS评分:7.8 严重程度:重要
在用户连接 USB 或其他 HID 设备的方式中发现了 Linux 内核HID子系统中的越界内存写入漏洞,这些设备在HID报告字段中生成不正确的数据本地用户可能会利用此漏洞使系统崩溃或可能提升他们在系统上的权限
受影响产品和版本
Red Hat Advanced Cluster Management for Kubernetes 2 for RHEL 8 x86_64
解决方案
红帽已经发布Red Hat Advanced Cluster Management 2.4安全更新。2021年是“十四五”开局之年。中国政府高度重视数字化发展,首次将数字中国建设提升到国家战略层面。在国家战略的推动下,千行百业的数字化转型加快。从政务,教育,金融到制造业,各行各业结合自身行业特点,提出了数字化转型的目标。刘建宁说:华为联合客户和合作伙伴,深入政府,金融,教育,制造等行业,基于业务需求和技术创新并行驱动,聚焦lsquo数字化,智能化和面向服务。打造端到端的智能云网解决方案,让云与网高度协同,持续将计算能力和智能传递到千家万户,激活数据要素潜能,为企业数字化发展注入新动力。。对于 Red Hat Advanced Cluster Management for Kubernetes,请参阅以下文档,该文档将很快针对此版本进行更新,以获取有关如何升级集群和完全应用此异步勘误更新的重要说明:
有关如何应用此更新的详细信息,请参阅:
。郑重声明:此文内容为本网站转载企业宣传资讯,目的在于传播更多信息,与本站立场无关。仅供读者参考,并请自行核实相关内容。