Red Hat Advanced Cluster Management是红帽公司的一个控制台集群控制软件。这是红帽专为混合云环境设计的IT管理技术产品系列的最新成员,它能帮助企业利用跨混合云和多云环境的企业级管理能力,进一步延伸并扩展红帽OpenShift,使其能够管理多个Kubernetes集群,在确保策略和治理措施执行的同时,实现跨混合云的多集群应用部署。
11月10日,RedHat发布了安全更新,修复了红帽高级集群管理解决方案中发现的一些列重要漏洞。以下是漏洞详情:
漏洞详情
来源:https://access.redhat.com/errata/RHSA-2021:4618
1.CVE-2021-3711 CVSS评分:9.8 严重程度:重要
在 openssl 中发现了一个漏洞。在 openssl 的 SM2 解密函数中发现缓冲区大小计算错误,允许在缓冲区外写入多达 62 个任意字节。远程攻击者可以利用此漏洞使支持 SM2 签名或加密算法的应用程序崩溃,或者,可能在运行该应用程序的用户的权限下执行任意代码。此漏洞的最大威胁是数据机密性和完整性以及系统可用性。
2.CVE-2021-3656 CVSS评分:8.8 严重程度:重要
在 KVM 的 AMD 代码中发现了一个用于支持 SVM 嵌套虚拟化的漏洞。该漏洞发生在处理 L1 来宾提供的 VMCB(虚拟机控制块)以生成/处理嵌套来宾 (L2) 时。由于“virt_ext”字段验证不当,此漏洞可能允许恶意 L1 禁用 L2 来宾的 VMLOAD/VMSAVE 拦截和 VLS(虚拟 VMLOAD/VMSAVE)。结果,L2 来宾将被允许读/写主机的物理页面,从而导致整个系统崩溃、敏感数据泄漏或潜在的来宾到主机逃逸。
3.CVE-2021-23017 CVSS评分:8.1 严重程度:重要
在 nginx 中发现了一个漏洞。处理 DNS 响应时的一个差错允许网络攻击者在堆分配的缓冲区中写入越界的点字符,这可能允许覆盖下一个堆块元数据的最低有效字节,这可能会导致远程代码执行情况。此漏洞的最大威胁是数据机密性和完整性以及系统可用性。
4.CVE-2021-32803 CVSS评分:8.1 严重程度:重要
npm 包“tar”(又名 node-tar)由于符号链接保护不足而具有任意文件创建/覆盖漏洞。`node-tar` 旨在保证不会提取任何位置会被符号链接修改的文件。这部分是通过确保提取的目录不是符号链接来实现的。此外,为了防止不必要的 `stat` 调用来确定给定的路径是否是目录,在创建目录时会缓存路径。
5.CVE-2021-32804 CVSS评分:8.1 严重程度:重要
由于绝对路径清理不足,npm 包“tar”(又名 node-tar)具有任意文件创建/覆盖漏洞。node-tar 旨在通过在 `preservePaths` 标志未设置为 `true` 时将绝对路径转换为相对路径来防止提取绝对文件路径。这是通过从包含在 tar 文件中的任何绝对文件路径中剥离绝对路径根来实现的。
6.CVE-2020-36385 CVSS评分:7.8 严重程度:重要
在用于 RDMA的Linux内核用户空间连接管理器访问中发现了一个漏洞。这可能允许本地攻击者使系统崩溃、损坏内存或提升权限。
7.CVE-2021-0512 CVSS评分:7.8 严重程度:重要
在用户连接 USB 或其他 HID 设备的方式中发现了 Linux 内核HID子系统中的越界内存写入漏洞,这些设备在HID报告字段中生成不正确的数据。本地用户可能会利用此漏洞使系统崩溃或可能提升他们在系统上的权限。
受影响产品和版本
Red Hat Advanced Cluster Management for Kubernetes 2 for RHEL 8 x86_64
解决方案
红帽已经发布Red Hat Advanced Cluster Management 2.4安全更新。对于 Red Hat Advanced Cluster Management for Kubernetes,请参阅以下文档,该文档将很快针对此版本进行更新,以获取有关如何升级集群和完全应用此异步勘误更新的重要说明:
https://access.redhat.com/documentation/en-us/red_hat_advanced_cluster_management_for_kubernetes/2.4/html/release_notes/index
有关如何应用此更新的详细信息,请参阅:
https://access.redhat.com/documentation/en-us/red_hat_advanced_cluster_management_for_kubernetes/2.4/html-single/install/index#installing
查看更多漏洞信息 以及升级请访问官网:
https://access.redhat.com/security/security-updates/#/security-advisories