OpenShift云应用平台发现任意命令执行漏洞，建议尽快升级

Red Hat OpenShift Container Platform是由美国红帽公司开发的应用平台，旨在帮助企业在物理、虚拟及公共云基础设施之间高效地开发、部署和管理基于容器的应用程序。该平台基于企业级Kubernetes技术构建，专为内部部署或私有云环境设计，能够实现全堆栈的自动化运维，支持混合云和多云部署。

2023年12月21日，Red Hat发布了一项安全更新，修复了OpenShift容器平台中发现的若干重要漏洞。以下是具体漏洞信息：

漏洞详情

1. CVE-2020-15862
CVSS评分：8.8
严重程度：高
该漏洞源于SNMP对EXTEND MIB的访问，允许以Root身份执行任意命令，导致不当的权限管理问题。此漏洞的主要威胁涉及机密性、完整性和系统可用性。

2. CVE-2020-27836
CVSS评分：8.1
严重程度：高
在集群入口运算符中存在漏洞，修改路由器的默认服务以仅允许特定IP范围，可能使攻击者能够访问本应限制在特定IP范围内的资源。这一漏洞威胁到数据的机密性、完整性及系统可用性。

3. CVE-2020-1971
CVSS评分：5.9
严重程度：中
openSSL中发现空指针取消引用漏洞，远程攻击者可能控制GENERAL_NAME_cmp函数的参数，从而导致使用openSSL编译的应用程序崩溃，造成拒绝服务。这一漏洞主要威胁系统的可用性。

4. CVE-2020-8177
CVSS评分：5.4
严重程度：中
在某些命令行选项组合下，可能会覆盖本地文件。向恶意服务器请求内容可能导致本地文件被覆盖，从而产生未知后果。此漏洞主要威胁文件的完整性。

5. CVE-2020-16166
CVSS评分：3.7
严重程度：中低
在Linux内核中发现一个漏洞，网络RNG内部状态生成的设备ID可以被预测，此漏洞对数据的机密性构成威胁。

受影响产品及版本

• Red Hat OpenShift Container Platform 4.6 for RHEL 8 x86_64
• Red Hat OpenShift Container Platform for Power 4.6 for RHEL 8 pPC64le
• Red Hat OpenShift Container Platform for IBM Z and linuxONE 4.6 for RHEL 8 s390x

解决方案

对于OpenShift Container Platform 4.6，请查阅以下文档，该文档将在此版本中不久更新，以获取有关如何升级集群并全面应用此异步勘误更新的重要信息：

有关如何访问该内容的详细信息，请访问。

欲了解更多漏洞信息及升级指南，请访问官网。

注意：

1. 必须保留并原样返回所有 [[[IMG_n]]] 占位符。