云安全日报210629：红帽OpenShift云应用平台发现执

Red Hat OpenShift Container Platform(红帽OpenShift容器平台)是美国红帽（Red Hat）公司的一套可帮助企业在物理、虚拟和公共云基础架构之间开发、部署和管理现有基于容器的应用程序的应用平台。它采用企业级Kuberes技术构建,专为内部部署或私有云部署而设计,可以实现全堆栈自动化运维，以管理混合云和多云部署。

6月29日,RedHat发布了安全更新，修复了红帽OpenShift容器平台中发现的执行任意代码等重要漏洞。以下是漏洞详情

漏洞详情

来源https://aess.redhat./errata/RHSA-2021:2500

1.CVE-2021-23369 CVSS评分9.8 严重程度高

在 nodejs-handlebars 中发现了一个漏洞。在模板函数中获取原型属性时缺少的检查允许攻击者（可以提供不受信任的把手模板）在使用 strict:true 选项编译模板时在javascript系统（例如浏览器或服务器）中执行任意代码。此漏洞的最大威胁是数据机密性和完整性以及系统可用性。

2.CVE-2021-23383 CVSS评分9.8 严重程度高

在nodejs-handlebars中发现了一个漏洞。JavaScriptCompiler.prototype.depthedLookup 函数中未转义的值允许攻击者在使用 pat:true 选项编译模板时，可以提供不受信任的把手模板，在 javascript 系统（例如浏览器或服务器）中执行任意代码。此漏洞的最大威胁是数据机密性和完整性以及系统可用性。

3.CVE-2019-20920 CVSS评分8.1 严重程度重要

在 nodejs-handlebars 中发现了一个漏洞，其中受影响的把手版本容易受到任意代码执行的影响。包查找助手无法正确验证模板，从而允许攻击者将执行任意 JavaScript 的模板提交到系统中。此问题用于在处理 Handlebars 模板的服务器中或在受害者的浏览器上运行任意代码（有效地充当跨站点脚本）。此漏洞的最大威胁是机密性。

4.CVE-2019-20922 CVSS评分7.5 严重程度重要

在 nodejs-handlebars 中发现了一个漏洞，其中受影响的把手版本容易受到拒绝服务的攻击。在处理特制模板时，包的解析器可能会被迫进入无限循环。该漏洞允许攻击者耗尽系统资源，导致拒绝服务。

受影响产品和版本

Red Hat OpenShift Container Platform 4.6 for RHEL 8 x86_64

Red Hat OpenShift Container Platform for Poer 4.6 for RHEL 8 ppc64le

Red Hat OpenShift Container Platform for IBM Z and LinuxONE 4.6 for RHEL 8 s390x

解决方案

对于 OpenShift Container Platform 4.6，请参阅以下文档，该文档将很快针对此版本进行更新，以获取有关如何

升级集群和完全应用此异步勘误更新的重要说明

https://docs.openshift./container-platform/4.6/release_notes/ocp-4-6-release-notes.html

有关如何访问此内容的详细信息，请访问

https://docs.openshift./container-platform/4.6/updating/updating-cluster-cli.html

查看更多漏洞信息 以及升级请访问官网

https://aess.redhat./security/security-updates/#/security-advisories