发现云应用平台外部实体攻击漏洞，需尽快升级

Red Hat OpenShift ContAIneR平台是由美国红帽（Red Hat）公司开发的一款应用平台，旨在帮助企业在物理、虚拟及公共云基础架构之间高效开发、部署和管理基于容器的应用程序。该平台采用企业级Kubernetes技术构建，专为内部部署和私有云环境设计，能够实现全堆栈的自动化运维，支持混合云和多云的部署。

2021年1月18日，Red Hat 发布了安全更新，修复了 OpenShift 容器平台中发现的一些重要漏洞。以下是漏洞的详细信息：

漏洞详情

来源：https://acceSS.Redhat.coM/eRRata/RHSA-2021:0038

CVE-2020-2304 CVSS评分：6.5 严重程度：中高

该漏洞为XML外部实体注入（XXE）漏洞，发生在应用程序解析XML输入时，未禁止外部实体的加载，可能导致加载恶意外部文件和代码，从而引发任意文件读取、命令执行、内网端口扫描、攻击内网网站及发起拒绝服务攻击等风险。

在Subversion Jenkins插件中发现了此漏洞，因未正确配置XML解析器以防止XXE攻击，攻击者能够控制代理进程并引导Jenkins解析包含外部实体的变更日志文件，从Jenkins控制器或服务器端提取秘密。

CVE-2020-2305 CVSS评分：6.5 严重程度：中高

此漏洞在Jenkins的Mercurial插件中被发现，同样是由于未将XML changelog解析器配置为防止XXE攻击，攻击者可控制代理进程让Jenkins解析更改日志文件，从中提取秘密。

CVE-2020-2306 CVSS评分：4.3 严重程度：中

HTTP端点缺乏权限检查，可能导致信息泄露。

CVE-2020-2307 CVSS评分：4.3 严重程度：中

Jenkins Kubernetes插件版本1.27.3及更早版本允许低权限用户访问可能敏感的Jenkins控制器环境变量。

受影响产品和版本

适用于RHEL 8 x86_64的Red Hat OpenShift容器平台4.6

适用于RHEL 7 x86_64的Red Hat OpenShift容器平台4.6

适用于RHEL 8 pvc64le的Power 4.6的Red Hat OpenShift容器平台

适用于RHEL 8 s390x的IBM Z和linuxONE 4.6的Red Hat OpenShift容器平台

解决方案

红帽已推出OpenShift容器平台4.6.12版本，包含了多个软件包和映像的更新。建议所有OpenShift ContAIneR平台4.6用户在适当的发行渠道中尽快升级至这些更新。

如需查看更多漏洞信息及升级详情，请访问官网：https://acceSS.Redhat.coM/security/security-updates/#/security-advisoRies