CVE-2020-14040 [Score CVSS v3 : 7.5] : Une vulnérabilité pouvant permettre un déni de service a été découverte dans la libraire golang.org/x/text utilisée par RedHat OpenShift Jaeger. Un attaquant distant et non authentifié peut, à travers l’envoi de chaînes de caractères spécifiques, créer une boucle infinie consommant une grande quantité de mémoire, ce qui conduirait à un déni de service sur la machine vulnérable.
Risques
-
Déni de service
Criticité
-
Score CVSS v3 : 7.5
Existence d’un code d’exploitation
-
Il n’existe pas de code d’exploitation connu publiquement à l’heure actuelle
Composants vulnérables
Red Hat Build of Jaeger (<v1.20)
Sur les distributions Red Hat OpenShift Virtualization 1 & 2, les paquets affectés utilisés par RedHat Openshit Jaeger RedHat sont les suivants :
-
virt-operator
-
virt-launcher
-
virt-handler
-
virt-controller
-
virt-cdi-uploadserver
CVE
Mise en place de correctifs de sécurité
- Mettre à jour RedHat OpenShift Jaeger ici.
Solution de contournement
-
Il n’existe pas de solution de contournement à l’heure actuelle.