OpenShift 云应用平台是一套帮助企业在物理、虚拟和公有云基础设施之间开发、部署和管理基于容器的应用的解决方案。它基于企业级 Kubernetes,面向内部部署或私有云部署,能够实现全栈自动化运维,管理混合云与多云环境。
9月1日,发布了安全更新,修复了该平台中发现的若干重要漏洞。以下为漏洞要点与影响信息:
漏洞详情
- CVE-2021-3121 CVSS 8.6,严重程度:高。若在 1.3.2 版本之前的某些 Protobuf 处理逻辑中存在越界访问,攻击者可通过构造特制的 Protobuf 消息触发拒绝服务,影响可用性。
- CVE-2021-22555 CVSS 7.8,严重程度:高。在 64 位系统上处理 32 位进程的 setsockopt IPT_SO_SET_REPLACE(或 IP6T_SO_SET_REPLACE)时,可能被本地用户利用以提升权限或触发 DoS。通常需要具有特定权限的用户,若内核在编译时启用 User Namespace 与 Net Namespace 并且用户获得提升权限,则可能被利用。
- CVE-2021-27218 CVSS 7.5,严重程度:高。在较旧的 GNOME GLib 版本及相关子版本中,若在 64 位平台使用 4GB 或更大缓冲区调用某些内存分配函数,长度可能被截断,导致异常行为。
- CVE-2021-3609 CVSS 7.0,严重程度:中。在 Linux 内核 CAN BCM 子系统中发现的漏洞,本地攻击者可利用该缺陷破坏内存、导致系统崩溃或提升权限。
- CVE-2021-22543 CVSS 7.0,严重程度:中。在 Linux 内核的 KVM 实现中,错误处理 VM_IO/VM_PFNMAP VMA 可能绕过只读检查并导致页面释放,进而使 VMM 与来宾仍可访问页面,导致本地权限提升风险。
受影响版本
OpenShift 云应用平台 4.7 适用于 RHEL 8 x86_64
OpenShift 云应用平台 4.7 适用于 RHEL 8 pPC64le
OpenShift 云应用平台 4.7 适用于 RHEL 8 s390x
解决方案
建议尽快参考官方文档进行升级与补丁应用,了解如何升级集群并完整应用此异步修补更新的相关要求与步骤。
更多漏洞信息及升级请查看官方文档与发布说明:
