TLP: White
NIVEL DE RIESGO – CVSS v3.1: 7.5 [Alto]
Acción Requerida: Actualizar la biblioteca “golang.org/x/crypto” a la versión 0.0.0-20200220183623-bac4c82f6975
Vector de ataque: Remoto.
Impacto: El aprovechamiento exitoso de esta vulnerabilidad podría permitir a un usuario malicioso causar un bloqueo en el dispositivo afectado.

Descripción

Red Hat publicó actualizaciones para corregir una vulnerabilidad presente en la biblioteca “golang.org/x/crypto” de OpenShift Container Platform. El identificador asignado a esta falla es CVE-2020-9283 (CVSS v3.1 7.5 [Alto]).

OpenShift Container Platform utiliza la biblioteca vulnerable en algunos componentes, afectando de manera directa a los clientes.

La vulnerabilidad puede causar denegación de servicio (DoS) en el paquete SSH de la biblioteca golang.org/x/crypto. Un atacante puede aprovechar la falla al enviar solicitudes especialmente diseñadas y causar un bloqueo a las aplicaciones que utilizan el paquete como cliente o como servidor SSH.

Nivel de riesgo

  • CVSS v3.1 7.5 [Alto]

Sistemas/tecnologías afectadas:

  • Red Hat OpenShift Container Platform 4.4 para RHEL 8 x86_64
  • Red Hat OpenShift Container Platform 4.4 para RHEL 7 x86_64
  • Red Hat OpenShift Container Platform para Power 4.4 para RHEL 8 ppc64le
  • Red Hat OpenShift Container Platform para Power 4.4 para RHEL 7 ppc64le
  • Red Hat OpenShift Container Platform para IBM Z y LinuxONE 4.4 para RHEL 8 s390x
  • Red Hat OpenShift Container Platform para IBM Z y LinuxONE 4.4 para RHEL 7 s390x

Medidas de erradicación

  • Actualizar la biblioteca “golang.org/x/crypto“ a su versión 0.0.0-20200220183623-bac4c82f6975.

Referencias