Se ha reportado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan a Red Hat Advanced Cluster Management 2.5, que permitirían a un atacante realizar desbordamiento de buffer, escalamiento de privilegios, entre otros.
Las vulnerabilidades reportadas se componen 5 (cinco) de severidad “Alta”, 7 (siete) de severidad “Media” y 10 (diez) de severidad “Baja”. Las principales se detallan a continuación:
- CVE-2022-22576 de severidad alta, con una puntuación asignada de 8.1. La vulnerabilidad existe debido a un error al reutilizar conexiones en OAUTH2 de protocolos habilitados de Red Hat. Esto permitiría a un atacante remoto omitir los procesos de autenticación y obtener acceso no autorizado a información confidencial.
- CVE-2022-1621 de severidad alta, con una puntuación asignada de 7.8. Esta vulnerabilidad de desbordamiento de buffer existe debido a un error de limite en la función vim_strncpy find_word del software vim de Red Hat. Un atacante remoto podría enviar un archivo especialmente diseñado y provocar ejecución remota de código (RCE) en el sistema afectado.
- CVE-2022-27782 de severidad alta, con una puntuación asignada de 7.5. Esta vulnerabilidad existe debido a la autenticación incorrecta de la librería libcurl de Red Hat. Un atacante remoto podría aprovechar esta vulnerabilidad para realizar ejecución remota de código (RCE) y obtener información confidencial.
Se puede acceder al listado completo de las vulnerabilidades subsanadas aquí.
Algunas versiones de productos afectados son:
- Red Hat Advanced Cluster Management para Kubernetes, version 2.5.0
Recomendamos actualizar el software descargando e instalando las actualizaciones proveídas por Red Hat Advanced Cluster, a través de la siguiente guía:
Referencias:
- https://www.cybersecurity-help.cz/vdb/SB2022071342
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22576
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1621
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-27782
- https://access.redhat.com/documentation/enus/red_hat_advanced_cluster_management_for_kubernetes/2.5/html-single/install/index#installing
- https://access.redhat.com/errata/RHSA-2022:5531