Vulnerabilidad en los contenedores hive de medición de OpenShift (CVE-2021-4125)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-502
Deserialización de datos no confiables
Fecha de publicación:
24/08/2022
Última modificación:
07/11/2023
Descripción
Se ha detectado que la corrección original para log4j CVE-2021-44228 y CVE-2021-45046 en los contenedores hive de medición de OpenShift estaba incompleta, ya que no fueron eliminados todos los archivos JndiLookup.class. Esta CVE sólo es aplicada a imágenes de contenedores hive de OpenShift Metering, enviadas en OpenShift versiones 4.8, 4.7 y 4.6.
Impacto
Puntuación base 3.x
8.10
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:redhat:openshift:*:*:*:*:*:*:*:* | 4.6.0 (incluyendo) | 4.6.52 (excluyendo) |
| cpe:2.3:a:redhat:openshift:*:*:*:*:*:*:*:* | 4.7.0 (incluyendo) | 4.7.40 (excluyendo) |
| cpe:2.3:a:redhat:openshift:*:*:*:*:*:*:*:* | 4.8.0 (incluyendo) | 4.8.24 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://access.redhat.com/security/cve/CVE-2021-4125
- https://access.redhat.com/security/cve/CVE-2021-44228
- https://access.redhat.com/security/cve/CVE-2021-45046
- https://bugzilla.redhat.com/show_bug.cgi?id=2033121
- https://github.com/kube-reporting/hive/pull/71
- https://github.com/kube-reporting/hive/pull/72
- https://github.com/kube-reporting/hive/pull/73