Red Hat hat am 25. April 2024 ein wichtiges Sicherheits- und Bugfix-Update für die OpenShift Container Platform Version 4.15.10 veröffentlicht. Dieses Update beinhaltet wichtige Sicherheitskorrekturen sowie Verbesserungen und Fehlerbehebungen für die Plattform.
Die OpenShift Container Platform von Red Hat ist eine auf Kubernetes basierende Anwendungsplattform für Cloud-Computing, die für den Einsatz in privaten Clouds oder On-Premise-Umgebungen konzipiert ist. Dieses Update adressiert mehrere Sicherheitslücken, die es Angreifern ermöglichen könnten, schädlichen Code auszuführen oder sensible Daten offenzulegen.
Zu den behobenen Sicherheitslücken gehören unter anderem eine Schwachstelle in der go-git
-Bibliothek, die durch manipulierte Antworten eines Git-Servers Denial-of-Service-Angriffe ermöglichen könnte (CVE-2023-49568), sowie ein Zugangs-Datenleck im cluster-monitoring-operator
(CVE-2024-1139), und eine Schwachstelle in opentelemetry-go-contrib
, die durch unbegrenzte Kardinalitätsmetriken zu einem Denial-of-Service führen könnte (CVE-2023-47108).
Eine weitere kritische Sicherheitslücke wurde in der kubevirt-csi-Komponente der OpenShift Virtualization’s Hosted Control Plane (HCP) identifiziert. Diese Schwachstelle, dokumentiert unter CVE-2024-1725, ermöglicht es einem authentifizierten Angreifer, durch das Erstellen eines benutzerdefinierten Persistent Volume, das den Namen eines Worker-Knotens imitiert, Zugang zur Root-Ebene des HCP-Worker-Knotens zu erlangen. Der Schweregrad dieser Sicherheitslücke wird mit einem CVSS-Score von 8.1 als wichtig eingestuft.
Diese Problematik wurde erstmals am 6. März 2024 öffentlich gemacht und zuletzt am 2. April 2024 aktualisiert. Die Schwachstelle ist als Trust Boundry Violation (CWE-501) klassifiziert und stellt ein signifikantes Sicherheitsrisiko dar.
Red Hat hat auf diese Bedrohung reagiert, indem Sicherheitsupdates für die betroffenen OpenShift Container Platform-Versionen bereitgestellt wurden. Für die OpenShift Container Platform 4.14 wurde das Update RHSA-2024:1892 am 26. April 2024 und für die Version 4.15 das Update RHSA-2024:1559 bereits am 2. April 2024 veröffentlicht. Beide Updates adressieren das Problem, indem sie die kubevirt-csi-Treiber auf den neuesten Stand bringen.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: