OpenShift容器平台是一套帮助企业在物理、虚拟和公共云基础架构之间开发、部署和管理基于容器的应用程序的应用平台。该平台采用企业级Kubernetes技术构建,专为内部部署或私有云部署而设计,能够实现全堆栈自动化运维,以管理混合云和多云部署。
近日,发现了OpenShift容器平台中的拒绝服务等重要漏洞,建议用户立即进行安全更新。以下是漏洞的详细信息:
漏洞详情
- CVE-2021-3121
CVSS评分:8.6 严重程度:中
在1.3.2之前的gogo/Protobuf中发现了一个漏洞,该漏洞允许在解组某些Protobuf对象时进行越界访问。此缺陷使远程攻击者能够发送原始的Protobuf消息,导致拒绝服务。此漏洞对可用性造成了重大威胁。 - CVE-2021-20206
CVSS评分:7.2 严重程度:中
在container-networking/cni中发现了对路径名缺陷的不当限制。在网络配置的“类型”字段中指定要加载的插件时,攻击者可以使用特殊元素(如“../”分隔符)引用系统上其他位置的二进制文件。此缺陷使攻击者能够执行除cni插件/类型以外的其他现有二进制文件,例如“Reboot”。此漏洞威胁到机密性、完整性和系统可用性。
受影响产品和版本
- OpenShift容器平台 4.7 for RHEL 8 x86_64
- OpenShift容器平台 for Power 4.7 for RHEL 8 ppc64le
- OpenShift容器平台 for IBM Z and linuxONE 4.7 for RHEL 8 s390x
解决方案
对于OpenShift容器平台4.7,请参阅以下文档,该文档将在此发行版中不久更新,以获取有关如何升级集群并完全应用此异步勘误更新的重要说明:
升级说明文档
有关如何访问此内容的详细信息,请访问:
集群更新文档
更多漏洞信息及升级详情,请访问:
安全更新官网
请及时处理此漏洞,以确保系统安全。
[[[IMG_1]]]
