Security restrictions bypass in OpenShift Container Platform 3.11



Published: 2021-06-10
Risk Low
Patch available YES
Number of vulnerabilities 1
CVE ID CVE-2021-30465
CWE ID CWE-254
Exploitation vector Local network
Public exploit N/A
Vulnerable software
Subscribe
Red Hat OpenShift Container Platform
Client/Desktop applications / Software for system administration

openshift-kuryr (Red Hat package)
Operating systems & Components / Operating system package or component

openshift-enterprise-cluster-capacity (Red Hat package)
Operating systems & Components / Operating system package or component

openshift-enterprise-autoheal (Red Hat package)
Operating systems & Components / Operating system package or component

openshift-ansible (Red Hat package)
Operating systems & Components / Operating system package or component

golang-github-prometheus-prometheus (Red Hat package)
Operating systems & Components / Operating system package or component

golang-github-prometheus-node_exporter (Red Hat package)
Operating systems & Components / Operating system package or component

golang-github-prometheus-alertmanager (Red Hat package)
Operating systems & Components / Operating system package or component

golang-github-openshift-oauth-proxy (Red Hat package)
Operating systems & Components / Operating system package or component

atomic-openshift-web-console (Red Hat package)
Operating systems & Components / Operating system package or component

atomic-openshift-service-idler (Red Hat package)
Operating systems & Components / Operating system package or component

atomic-openshift-node-problem-detector (Red Hat package)
Operating systems & Components / Operating system package or component

atomic-openshift-metrics-server (Red Hat package)
Operating systems & Components / Operating system package or component

atomic-openshift-dockerregistry (Red Hat package)
Operating systems & Components / Operating system package or component

atomic-openshift-descheduler (Red Hat package)
Operating systems & Components / Operating system package or component

atomic-openshift-cluster-autoscaler (Red Hat package)
Operating systems & Components / Operating system package or component

atomic-openshift (Red Hat package)
Operating systems & Components / Operating system package or component

atomic-enterprise-service-catalog (Red Hat package)
Operating systems & Components / Operating system package or component

runc (Red Hat package)
Operating systems & Components / Operating system package or component

Vendor Red Hat Inc.

Security Advisory

This security advisory describes one low risk vulnerability.

1) Security features bypass

Risk: Low

CVSSv3.1: 6.6 [CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N/E:U/RL:O/RC:C] [PCI]

CVE-ID: CVE-2021-30465

CWE-ID: CWE-254 - Security Features

Exploit availability: No

Description

The vulnerability allows a remote attacker to compromise the target system.

The vulnerability exists due to the security features bypass issue. A remote authenticated attacker on the local network can perform a symlink exchange attack and host filesystem being bind-mounted into the container.

Mitigation

Install updates from vendor's website.

Vulnerable software versions

Red Hat OpenShift Container Platform: 3.11.0, 3.11.43, 3.11.51, 3.11.59, 3.11.69, 3.11.82, 3.11.88, 3.11.98, 3.11.104, 3.11.117, 3.11.129, 3.11.135, 3.11.141, 3.11.146, 3.11.153, 3.11.154, 3.11.157, 3.11.161, 3.11.170, 3.11.188, 3.11.200, 3.11.216, 3.11.219, 3.11.232, 3.11.248, 3.11.272, 3.11.286, 3.11.306, 3.11.317, 3.11.318, 3.11.343, 3.11.380, 3.11.394, 3.11.420, 3.11.439

openshift-kuryr (Red Hat package): 3.11.153-1.git.1.073ef06.el7, 3.11.161-1.git.1.33697e5.el7, 3.11.170-1.git.1.7265da1.el7, 3.11.219-1.git.1.717d59f.el7, 3.11.248-1.git.1.f90c804.el7, 3.11.346-1.git.1478.b99caab.el7, 3.11.404-1.git.1494.91fb403.el7, 3.11.420-1.git.1500.afe0076.el7

openshift-enterprise-cluster-capacity (Red Hat package): 3.11.16-1.git.380.1406f2f.el7, 3.11.43-1.git.380.9cbcbb2.el7, 3.11.51-1.git.380.ffa21af.el7, 3.11.59-1.git.380.b698d32.el7, 3.11.82-1.git.380.cf11c51.el7, 3.11.98-1.git.0.deb9250.el7, 3.11.117-1.git.1.6593fce.el7, 3.11.146-1.git.1.113bc35.el7, 3.11.153-1.git.1.5f83714.el7, 3.11.154-1.git.1.5798c2c.el7, 3.11.161-1.git.1.032be79.el7, 3.11.170-1.git.1.661684b.el7, 3.11.219-1.git.1.ca1ee51.el7, 3.11.248-1.git.1.37b107c.el7, 3.11.346-1.git.379.a389b99.el7, 3.11.404-1.git.379.e6e2a1d.el7, 3.11.420-1.git.379.aa3bf1b.el7

openshift-enterprise-autoheal (Red Hat package): 3.11.16-1.git.219.5443970.el7, 3.11.43-1.git.219.be400cf.el7, 3.11.51-1.git.219.8ea4275.el7, 3.11.59-1.git.219.cb7dd44.el7, 3.11.82-1.git.219.0b5aff4.el7, 3.11.98-1.git.0.6737a19.el7, 3.11.117-1.git.1.ef32a58.el7, 3.11.146-1.git.1.de160cc.el7, 3.11.153-1.git.1.a190220.el7, 3.11.154-1.git.1.13199be.el7, 3.11.161-1.git.1.cf7169d.el7, 3.11.170-1.git.1.dfe6c52.el7, 3.11.219-1.git.1.c544df9.el7, 3.11.248-1.git.1.0020348.el7, 3.11.346-1.git.218.08313c9.el7, 3.11.404-1.git.218.c348621.el7, 3.11.420-1.git.218.439a0dd.el7

openshift-ansible (Red Hat package): 3.11.16-1.git.0.4ac6f81.el7, 3.11.43-1.git.0.fa69a02.el7, 3.11.51-2.git.0.51c90a3.el7, 3.11.59-1.git.0.ba8e948.el7, 3.11.82-3.git.0.9718d0a.el7, 3.11.98-1.git.0.3cfa7c3.el7, 3.11.123-1.git.0.db681ba.el7, 3.11.146-1.git.0.fcedb45.el7, 3.11.153-2.git.0.ee699b5.el7, 3.11.161-2.git.5.029d67f.el7, 3.11.170-2.git.5.8802564.el7, 3.11.219-1.git.0.8845382.el7, 3.11.248-1.git.0.fd212c7.el7, 3.11.346-1.git.0.f65cc70.el7, 3.11.404-1.git.0.d161108.el7, 3.11.420-1.git.0.336dcef.el7

golang-github-prometheus-prometheus (Red Hat package): 3.11.16-1.git.5020.5e81ed1.el7, 3.11.43-1.git.5021.31a8f1d.el7, 3.11.51-1.git.5023.0ad933c.el7, 3.11.59-1.git.5023.748e6f7.el7, 3.11.82-1.git.5027.9d24833.el7, 3.11.98-1.git.0.61907ad.el7, 3.11.117-1.git.1.f52d417.el7, 3.11.146-1.git.1.0e18774.el7, 3.11.153-1.git.1.7a486a2.el7, 3.11.154-1.git.1.148db48.el7, 3.11.161-1.git.1.3f7d286.el7, 3.11.170-1.git.1.227bc98.el7, 3.11.219-1.git.1.3f6e657.el7, 3.11.248-1.git.1.ad54f5b.el7, 3.11.346-1.git.5026.2eafa83.el7, 3.11.404-1.git.5026.5f1d705.el7, 3.11.420-1.git.5026.1e8cb9c.el7

golang-github-prometheus-node_exporter (Red Hat package): 3.11.16-1.git.1056.1583d2a.el7, 3.11.43-1.git.1060.0aff287.el7, 3.11.51-1.git.1063.12dd8be.el7, 3.11.59-1.git.1063.dce4999.el7, 3.11.82-1.git.1063.48444e8.el7, 3.11.98-1.git.0.b02f11c.el7, 3.11.117-1.git.1.dcee33f.el7, 3.11.146-1.git.1.51554ba.el7, 3.11.153-1.git.1.0e8ef36.el7, 3.11.154-1.git.1.bc9f224.el7, 3.11.161-1.git.1.c82b9a8.el7, 3.11.170-1.git.1.51473b7.el7, 3.11.219-1.git.1.7fa9674.el7, 3.11.248-1.git.1.32f87fc.el7, 3.11.346-1.git.1062.c498733.el7, 3.11.404-1.git.1062.611825d.el7, 3.11.420-1.git.1062.26157c1.el7

golang-github-prometheus-alertmanager (Red Hat package): 3.11.16-1.git.0.be735ec.el7, 3.11.43-1.git.0.19c2765.el7, 3.11.51-1.git.0.50a0687.el7, 3.11.59-1.git.0.9e91645.el7, 3.11.82-1.git.0.3bf41ce.el7, 3.11.98-1.git.92.7ebe477.el7, 3.11.117-1.git.1.207ef35.el7, 3.11.146-1.git.1.1a30625.el7, 3.11.153-1.git.1.2768abd.el7, 3.11.154-1.git.1.4acd2e6.el7, 3.11.161-1.git.1.823bae5.el7, 3.11.170-1.git.1.61d7960.el7, 3.11.219-1.git.1.9a593f8.el7, 3.11.248-1.git.1.66abd18.el7, 3.11.346-1.git.0.c2f0036.el7, 3.11.404-1.git.0.2817295.el7, 3.11.420-1.git.0.9300c91.el7

golang-github-openshift-oauth-proxy (Red Hat package): 3.11.16-1.git.409.922769e.el7, 3.11.43-1.git.419.03122b3.el7, 3.11.51-1.git.419.1af74df.el7, 3.11.59-1.git.419.7d96cfa.el7, 3.11.82-1.git.425.7cac034.el7, 3.11.98-1.git.0.fd9716c.el7, 3.11.117-1.git.1.2b006d2.el7, 3.11.146-1.git.1.517a261.el7, 3.11.153-1.git.1.a814e13.el7, 3.11.154-1.git.1.220e3dc.el7, 3.11.161-1.git.1.934cf10.el7, 3.11.170-1.git.1.b49be83.el7, 3.11.219-1.git.1.076ae14.el7, 3.11.248-1.git.1.9885abb.el7, 3.11.346-1.git.439.d3d1b1e.el7, 3.11.404-1.git.439.06870e9.el7, 3.11.420-1.git.439.bfcc32b.el7

atomic-openshift-web-console (Red Hat package): 3.11.16-1.git.289.ecf7441.el7, 3.11.43-1.git.316.7753377.el7, 3.11.51-1.git.324.0ae64ed.el7, 3.11.59-1.git.332.067c22e.el7, 3.11.82-1.git.355.5e8b1d9.el7, 3.11.98-1.git.50.bd70c76.el7, 3.11.104-1.git.1.3c3a7f2.el7, 3.11.117-1.git.1.be7a05c.el7, 3.11.146-1.git.1.75951b8.el7, 3.11.153-1.git.1.7b8d88b.el7, 3.11.154-1.git.1.f54cb18.el7, 3.11.161-1.git.1.809b03f.el7, 3.11.170-1.git.1.3d64e8b.el7, 3.11.219-1.git.1.9b9b889.el7, 3.11.346-1.git.619.3bb8f35.el7, 3.11.404-1.git.677.0e37db7.el7, 3.11.420-1.git.693.897d713.el7

atomic-openshift-service-idler (Red Hat package): 3.11.16-1.git.14.a65cbf0.el7, 3.11.43-1.git.14.bbbb450.el7, 3.11.51-1.git.14.813574a.el7, 3.11.59-1.git.14.1d7c0b6.el7, 3.11.82-1.git.14.e353758.el7, 3.11.98-1.git.14.1793066.el7, 3.11.117-1.git.1.887bb82.el7, 3.11.146-1.git.1.723cb8d.el7, 3.11.153-1.git.1.208da50.el7, 3.11.154-1.git.1.f80fb86.el7, 3.11.161-1.git.1.88f46ce.el7, 3.11.170-1.git.1.8328979.el7, 3.11.219-1.git.1.958cdae.el7, 3.11.248-1.git.1.4c42a90.el7, 3.11.346-1.git.15.35bbcf7.el7, 3.11.404-1.git.15.6c64591.el7, 3.11.420-1.git.15.021a26a.el7

atomic-openshift-node-problem-detector (Red Hat package): 3.11.16-1.git.198.95f4dfa.el7, 3.11.43-1.git.252.f45475c.el7, 3.11.51-1.git.254.22189b0.el7, 3.11.59-1.git.254.339286b.el7, 3.11.82-1.git.254.a448936.el7, 3.11.98-1.git.0.83348c7.el7, 3.11.117-1.git.1.0345fe3.el7, 3.11.146-1.git.1.e0e89f7.el7, 3.11.153-1.git.1.7fbf681.el7, 3.11.154-1.git.1.5e8e065.el7, 3.11.161-1.git.1.5d93e31.el7, 3.11.170-1.git.1.b1f90a6.el7, 3.11.219-1.git.1.5ae8753.el7, 3.11.248-1.git.1.628ff22.el7, 3.11.346-1.git.263.335bb76.el7, 3.11.400-1.git.263.930aa57.el7, 3.11.420-1.git.616.0e0f24d.el7

atomic-openshift-metrics-server (Red Hat package): 3.11.16-1.git.52.9fd74a8.el7, 3.11.43-1.git.52.6cc0a21.el7, 3.11.51-1.git.52.03e3a91.el7, 3.11.59-1.git.52.3aa1c21.el7, 3.11.82-1.git.52.2fdca3f.el7, 3.11.98-1.git.52.0623d01.el7, 3.11.117-1.git.1.319d58e.el7, 3.11.146-1.git.1.5278825.el7, 3.11.153-1.git.1.a8cdc59.el7, 3.11.154-1.git.1.6a6b6ce.el7, 3.11.161-1.git.1.5e2b4e0.el7, 3.11.170-1.git.1.357f177.el7, 3.11.219-1.git.1.6fe54fb.el7, 3.11.248-1.git.1.b53e0e3.el7, 3.11.346-1.git.53.f310e77.el7, 3.11.404-1.git.53.b9081b6.el7, 3.11.420-1.git.53.4b2f788.el7

atomic-openshift-dockerregistry (Red Hat package): 3.11.51-1.git.446.d29ce0e.el7, 3.11.59-1.git.446.4555762.el7, 3.11.82-1.git.452.0ce6383.el7, 3.11.98-1.git.0.27979f1.el7, 3.11.117-1.git.1.6a42b08.el7, 3.11.146-1.git.1.fc1edc6.el7, 3.11.153-1.git.1.74c6913.el7, 3.11.161-1.git.1.a000456.el7, 3.11.170-1.git.1.55fab05.el7, 3.11.219-1.git.1.8323991.el7, 3.11.248-1.git.1.bb4a1fc.el7, 3.11.346-1.git.481.1a70926.el7, 3.11.404-1.git.481.5000e2c.el7, 3.11.420-1.git.481.b7f0e25.el7

atomic-openshift-descheduler (Red Hat package): 3.11.16-1.git.300.abfab3c.el7, 3.11.43-1.git.300.a720f7f.el7, 3.11.51-1.git.300.89070e8.el7, 3.11.59-1.git.300.ecee52f.el7, 3.11.82-1.git.300.89765c9.el7, 3.11.98-1.git.153.6c2426d.el7, 3.11.117-1.git.1.1635b0a.el7, 3.11.146-1.git.1.fc7387e.el7, 3.11.153-1.git.1.69ca8e7.el7, 3.11.154-1.git.1.1d31032.el7, 3.11.161-1.git.1.61a41f1.el7, 3.11.170-1.git.1.9ad83f2.el7, 3.11.219-1.git.1.7e5b9ee.el7, 3.11.248-1.git.1.108ef32.el7, 3.11.346-1.git.299.eda6813.el7, 3.11.404-1.git.299.2bfbb2f.el7, 3.11.420-1.git.299.1441464.el7

atomic-openshift-cluster-autoscaler (Red Hat package): 3.11.16-1.git.0.8c8305e.el7, 3.11.43-1.git.0.55c4e4b.el7, 3.11.51-1.git.0.0aa9fc2.el7, 3.11.59-1.git.0.1bf08fd.el7, 3.11.82-1.git.0.efb6af0.el7, 3.11.98-1.git.0.3b82207.el7, 3.11.117-1.git.1.caa79fa.el7, 3.11.146-1.git.1.3633245.el7, 3.11.153-1.git.1.bde8a94.el7, 3.11.154-1.git.1.532da7a.el7, 3.11.161-1.git.1.ee040c2.el7, 3.11.170-1.git.1.0a0df6a.el7, 3.11.219-1.git.1.1ad3e34.el7, 3.11.248-1.git.1.b5530f6.el7, 3.11.346-1.git.0.d16fdd8.el7, 3.11.404-1.git.0.2c258fe.el7, 3.11.420-1.git.0.5eb2514.el7

atomic-openshift (Red Hat package): 3.11.16-1.git.0.b48b8f8.el7, 3.11.43-1.git.0.647ac05.el7, 3.11.51-1.git.0.1560686.el7, 3.11.59-1.git.0.7cb6277.el7, 3.11.82-1.git.0.08bc31b.el7, 3.11.98-1.git.0.0cbaff3.el7, 3.11.117-1.git.0.14e54a3.el7, 3.11.129-1.git.0.bd4f2d5.el7, 3.11.146-1.git.0.4aab273.el7, 3.11.153-1.git.0.aaf3f71.el7, 3.11.154-1.git.0.7a097ad.el7, 3.11.157-1.git.0.dfe38da.el7, 3.11.161-1.git.0.4ccbe25.el7, 3.11.170-1.git.0.00cac56.el7, 3.11.188-1.git.0.db0eaa8.el7, 3.11.219-1.git.0.0c21387.el7, 3.11.346-1.git.0.ea10721.el7, 3.11.404-1.git.0.dd58619.el7, 3.11.420-1.git.0.14645d0.el7

atomic-enterprise-service-catalog (Red Hat package): 3.11.16-1.git.1633.05087cb.el7, 3.11.43-1.git.1671.04b17f5.el7, 3.11.51-1.git.1671.2d16650.el7, 3.11.59-1.git.1671.f166457.el7, 3.11.82-1.git.1673.133961e.el7, 3.11.98-1.git.0.a7877b0.el7, 3.11.117-1.git.1.376e432.el7, 3.11.146-1.git.1.3f0869b.el7, 3.11.153-1.git.1.e227636.el7, 3.11.154-1.git.1.fa68ced.el7, 3.11.161-1.git.1.63434de.el7, 3.11.170-1.git.1.91db82e.el7, 3.11.219-1.git.1.717017c.el7, 3.11.248-1.git.1.9aad2ef.el7, 3.11.346-1.git.1675.f80310c.el7, 3.11.404-1.git.1675.3094ee9.el7, 3.11.420-1.git.1675.fc6e217.el7

runc (Red Hat package): 1.0.0-1.rc2.el7, 1.0.0-24.rc4.dev.gitc6e4a1e.el7, 1.0.0-59.dev.git2abd837.el7, 1.0.0-66.rc8.el7_7, 1.0.0-66.rc10.rhaos4.3.el7_8, 1.0.0-67.rc10.el7_8

CPE External links

https://access.redhat.com/errata/RHSA-2021:2150

Q & A

Can this vulnerability be exploited remotely?

Yes. This vulnerability can be exploited by a remote authenticated user via the local network (LAN).

Is there known malware, which exploits this vulnerability?

No. We are not aware of malware exploiting this vulnerability.



###SIDEBAR###