Vulnérabilité dans la plateforme de gestion RedHat Openshift Jaeger
Date de publication :
CVE-2020-14040[Score CVSS v3 : 7.5] : Une vulnérabilité pouvant permettre un déni de service a été découverte dans la libraire golang.org/x/text utilisée par RedHat OpenShift Jaeger. Un attaquant distant et non authentifié peut, à travers l’envoi de chaînes de caractères spécifiques, créer une boucle infinie consommant une grande quantité de mémoire, ce qui conduirait à un déni de service sur la machine vulnérable.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Déni de service
Criticité
- Score CVSS v3 : 7.5
Existence d’un code d’exploitation
- Il n’existe pas de code d’exploitation connu publiquement à l’heure actuelle
Composants vulnérables
Red Hat Build of Jaeger (<v1.20)
Sur les distributions Red Hat OpenShift Virtualization 1 & 2, les paquets affectés utilisés par RedHat Openshit Jaeger RedHat sont les suivants :
- virt-operator
- virt-launcher
- virt-handler
- virt-controller
- virt-cdi-uploadserver
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour RedHat OpenShift Jaeger ici.
Solution de contournement
Il n’existe pas de solution de contournement à l’heure actuelle.