RHEL 8 : OpenShift Container Platform 4.10.51 (RHSA-2023:0560)

critical Nessus プラグイン ID 194208

Language:

概要

リモートの Red Hat ホストに、OpenShift Container Platform 4.10.51 の 1 つ以上のセキュリティ更新がありません。

説明

リモート Redhat Enterprise Linux 8 ホストに、RHSA-2023:0560 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

- google-oauth-client: ネイティブアプリ用の RFC for OAuth 2.0 に準拠した PKCE サポートの欠如により、不適切な承認が引き起こされる可能性があります (CVE-2020-7692)

- snakeyaml: コレクションのネスト化された深度制限の欠落によるサービス拒否 (CVE-2022-25857)

- Jenkins プラグイン: スクリプトセキュリティプラグインでの CSRF 脆弱性 (CVE-2022-30946)

- Jenkins プラグイン: BlueOcean プラグインのパイプライン SCM API によって他のユーザーに公開されたユーザースコープの認証情報 (CVE-2022-30952)

- Jenkins プラグイン: Blue Ocean プラグインでの CSRF 脆弱性 (CVE-2022-30953)

- Jenkins プラグイン: BlueOcean プラグインにおけるアクセス許可チェックの欠如 (CVE-2022-30954)

- jenkins-plugin: org.jenkins-ci.plugins:git のクロスサイトリクエスト偽造 (CSRF) (CVE-2022-36882)

- jenkins プラグイン: Git プラグイン webhook の認証メカニズムの欠如 (CVE-2022-36883、CVE-2022-36884)

- jenkins プラグイン: GitHub プラグインにおける非一定時間の Webhook 署名の比較 (CVE-2022-36885)

- jenkins-plugin/script-security: Jenkins スクリプトセキュリティプラグインにあるサンドボックスバイパスの脆弱性 (CVE-2022-43401、CVE-2022-43403、CVE-2022-43404)

- jenkins-plugin/workflow-cps: パイプラインのサンドボックスバイパスの脆弱性: Groovy プラグイン (CVE-2022-43402)

- jenkins-plugin/pipeline-groovy-lib: パイプラインのサンドボックスバイパスの脆弱性: Groovy Libraries プラグイン (CVE-2022-43405)

- jenkins-plugin/workflow-cps-global-lib: パイプラインのサンドボックスバイパスの脆弱性: 非推奨の Groovy Libraries プラグイン (CVE-2022-43406)

- jenkins-plugin/pipeline-input-step: 任意の URL の CSRF 保護が、パイプラインでバイパスされる可能性があります: 入力ステッププラグイン (CVE-2022-43407)

- jenkins-plugin/pipeline-stage-view: 任意の URL の CSRF 保護が、パイプラインでバイパスされる可能性があります: Stage View Plugin (CVE-2022-43408)

- jenkins-plugin/workflow-support: パイプラインにある蓄積型 XSS の脆弱性: API プラグインのサポート (CVE-2022-43409)

- mina-sshd: Java の安全ではない逆シリアル化の脆弱性 (CVE-2022-45047)

- jenkins-plugin/script-security: Script Security Plugin のスクリプト全体の承認が SHA-1 衝突に対して脆弱です (CVE-2022-45379)

- jenkins-plugin/JUnit: JUnit プラグインの蓄積型 XSS の脆弱性 (CVE-2022-45380)

- jenkins-plugin/pipeline-utility-steps: Pipeline Utility Steps プラグインでの任意のファイル読み取りの脆弱性 (CVE-2022-45381)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

RHEL OpenShift Container Platform 4.10.51 パッケージを RHSA-2023:0560 のガイダンスに基づいて更新してください。

参考資料

https://access.redhat.com/security/updates/classification/#critical

https://bugzilla.redhat.com/show_bug.cgi?id=1856376

https://bugzilla.redhat.com/show_bug.cgi?id=2116840

https://bugzilla.redhat.com/show_bug.cgi?id=2119643

https://bugzilla.redhat.com/show_bug.cgi?id=2119645

https://bugzilla.redhat.com/show_bug.cgi?id=2119646

https://bugzilla.redhat.com/show_bug.cgi?id=2119647

https://bugzilla.redhat.com/show_bug.cgi?id=2119656

https://bugzilla.redhat.com/show_bug.cgi?id=2119657

https://bugzilla.redhat.com/show_bug.cgi?id=2119658

https://bugzilla.redhat.com/show_bug.cgi?id=2126789

https://bugzilla.redhat.com/show_bug.cgi?id=2136370

https://bugzilla.redhat.com/show_bug.cgi?id=2136374

https://bugzilla.redhat.com/show_bug.cgi?id=2136379

https://bugzilla.redhat.com/show_bug.cgi?id=2136381

https://bugzilla.redhat.com/show_bug.cgi?id=2136382

https://bugzilla.redhat.com/show_bug.cgi?id=2136383

https://bugzilla.redhat.com/show_bug.cgi?id=2136386

https://bugzilla.redhat.com/show_bug.cgi?id=2136388

https://bugzilla.redhat.com/show_bug.cgi?id=2136391

https://bugzilla.redhat.com/show_bug.cgi?id=2143086

https://bugzilla.redhat.com/show_bug.cgi?id=2143089

https://bugzilla.redhat.com/show_bug.cgi?id=2143090

https://bugzilla.redhat.com/show_bug.cgi?id=2145194

http://www.nessus.org/u?2f86c0dd

https://access.redhat.com/errata/RHSA-2023:0560

プラグインの詳細

深刻度: Critical

ID: 194208

ファイル名: redhat-RHSA-2023-0560.nasl

バージョン: 1.0

タイプ: local

エージェント: unix

ファミリー: Red Hat Local Security Checks

公開日: 2024/4/28

更新日: 2024/4/28

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus