Redhat-storage-server
Уязвимости
28
Эксплуатируемые
0
Макс. CVSS
8.8
Макс. EPSS
0.06138
Распределение по критичности
Критический
0
Высокий
11
Средний
13
Низкий
4
Также сопоставлено как (исходные строки): redhat-storage-server
Топ уязвимостей
CVE-2018-14651Было обнаружено, что исправление для CVE-2018-10927, CVE-2018-10928, CVE-2018-10929, CVE-2018-10930 и CVE-2018-10926 было неполным. Удаленный аутентифицированный злоумышленник может использовать одну из этих уязвимостей для выполнения произвольного кода, создания произвольных файлов или вызова отказа в обслуживании на узлах сервера glusterfs через символические ссылки на относительные пути.
CVE-2018-10929В RPC-запросе с использованием gfs2_create_req на сервере glusterfs обнаружена уязвимость. Аутентифицированный злоумышленник может использовать этот недостаток для создания произвольных файлов и выполнения произвольного кода на узлах сервера glusterfs.
CVE-2018-10928В RPC-запросе с использованием gfs3_symlink_req на сервере glusterfs обнаружена уязвимость, позволяющая указать в качестве назначения символической ссылки пути к файлам за пределами тома gluster. Аутентифицированный злоумышленник может использовать этот недостаток для создания произвольных символических ссылок, указывающих в любое место на сервере, и выполнения произвольного кода на узлах сервера glusterfs.
CVE-2018-10907Обнаружено, что сервер glusterfs уязвим для многочисленных переполнений буфера на основе стека из-за функций в server-rpc-fopc.c, выделяющих буферы фиксированного размера с помощью 'alloca(3)'. Аутентифицированный злоумышленник может использовать это, подключив том gluster и отправив строку длиннее, чем размер фиксированного буфера, чтобы вызвать сбой или потенциальное выполнение кода.
CVE-2018-10904Обнаружено, что сервер glusterfs неправильно очищает пути к файлам в расширенном атрибуте "trusted.io-stats-dump", который используется транслятором "debug/io-stats". Злоумышленник может использовать этот недостаток для создания файлов и выполнения произвольного кода. Для эксплуатации этого злоумышленнику потребуется достаточный доступ для изменения расширенных атрибутов файлов на томе gluster.
CVE-2018-10926В RPC-запросе с использованием gfs3_mknod_req, поддерживаемого сервером glusterfs, обнаружена уязвимость. Аутентифицированный злоумышленник может использовать этот недостаток для записи файлов в произвольное местоположение с помощью обхода пути и выполнения произвольного кода на узле сервера glusterfs.
CVE-2018-10923Обнаружено, что вызов "mknod", производный от mknod(2), может создавать файлы, указывающие на устройства на узле сервера glusterfs. Аутентифицированный злоумышленник может использовать это для создания произвольного устройства и чтения данных с любого устройства, подключенного к узлу сервера glusterfs.
CVE-2014-5340Компонент wato в Check_MK до 1.2.4p4 и 1.2.5 до 1.2.5i4 небезопасно использует модуль pickle Python, что позволяет удаленным злоумышленникам выполнять произвольный код через специально созданный сериализованный объект, связанный с URL-адресом автоматизации.
CVE-2014-5339Check_MK до 1.2.4p4 и 1.2.5 до 1.2.5i4 позволяет удаленным аутентифицированным пользователям записывать файлы конфигурации check_mk (файлы .mk) в произвольные места через векторы, связанные с выбором строк.
CVE-2014-5338Множественные уязвимости межсайтового скриптинга (XSS) в компоненте multisite в Check_MK до 1.2.4p4 и 1.2.5 до 1.2.5i4 позволяют удаленным аутентифицированным пользователям внедрять произвольный веб-скрипт или HTML через неуказанные векторы в (1) функцию render_status_icons в htmllib.py или (2) функцию ajax_action в actions.py.
CVE-2018-10927В RPC-запросе с использованием gfs3_lookup_req на сервере glusterfs обнаружена уязвимость. Аутентифицированный злоумышленник может использовать этот недостаток для утечки информации и выполнения удаленного отказа в обслуживании путем аварийного завершения процесса gluster brick.
CVE-2018-14661Было обнаружено, что использование функции snprintf в трансляторе feature/locks glusterfs server 3.8.4, поставляемом с Red Hat Gluster Storage, уязвимо для атаки с использованием форматной строки. Удаленный аутентифицированный злоумышленник может использовать эту уязвимость, чтобы вызвать удаленный отказ в обслуживании.
CVE-2018-14660В glusterfs server версий 4.1.4 и 3.1.2 обнаружена уязвимость, позволяющая многократно использовать xattr GF_META_LOCK_KEY. Удаленный аутентифицированный злоумышленник может использовать эту уязвимость для создания нескольких блокировок для одного inode, многократно используя setxattr, что приведет к исчерпанию памяти узла glusterfs server.
CVE-2018-14659Файловая система Gluster версий 4.1.4 и 3.1.2 уязвима для атак типа «отказ в обслуживании» из-за использования xattr «GF_XATTR_IOSTATS_DUMP_KEY». Удаленный аутентифицированный злоумышленник может воспользоваться этим, смонтировав том Gluster и многократно вызывая «setxattr(2)», чтобы вызвать дамп состояния и создать произвольное количество файлов в каталоге времени выполнения сервера.
CVE-2018-14653Файловая система Gluster версий 4.1.4 и 3.12 уязвима для переполнения буфера на основе кучи в функции «__server_getspec» через RPC-сообщение «gf_getspec_req». Удаленный аутентифицированный злоумышленник может использовать это для вызова отказа в обслуживании или другого потенциального неуказанного воздействия.
CVE-2018-14652Файловая система Gluster версий 3.12 и 4.1.4 уязвима для переполнения буфера в трансляторе «features/index» через код, обрабатывающий xattr «GF_XATTR_CLRLK_CMD» в функции «pl_getxattr». Удаленный аутентифицированный злоумышленник может воспользоваться этим на подключенном томе, чтобы вызвать отказ в обслуживании.
CVE-2018-10930В RPC-запросе с использованием gfs3_rename_req на сервере glusterfs обнаружена уязвимость. Аутентифицированный злоумышленник может использовать этот недостаток для записи в место назначения за пределами тома gluster.
CVE-2018-10911В dic_unserialize функции glusterfs обнаружена ошибка, связанная с тем, что она не обрабатывает отрицательные значения длины ключа. Злоумышленник может использовать этот недостаток для чтения памяти из других мест в сохраненное значение словаря.
CVE-2014-8177Пакет Red Hat gluster-swift, используемый в Red Hat Gluster Storage (ранее Red Hat Storage Server), позволяет удаленным аутентифицированным пользователям обходить ограничение max_meta_count с помощью нескольких специально созданных запросов, которые превышают предел при объединении.
CVE-2018-10914Обнаружено, что злоумышленник может отправить запрос xattr через glusterfs FUSE, чтобы вызвать сбой процесса gluster brick, что приведет к удаленному отказу в обслуживании. Если включено мультиплексирование gluster, это приведет к сбою нескольких bricks и томов gluster.
CVE-2018-14654Файловая система Gluster до версии 4.1.4 уязвима для злоупотребления транслятором «features/index». Удаленный злоумышленник, имеющий доступ к монтированию томов, может использовать это через «GF_XATTROP_ENTRY_IN_KEY» xattrop для создания произвольных пустых файлов на целевом сервере.
CVE-2014-3619Функция __socket_proto_state_machine в GlusterFS 3.5 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (бесконечный цикл) через заголовок фрагмента "00000000".
CVE-2015-1795Пакет Red Hat Gluster Storage RPM 3.2 позволяет локальным пользователям получать привилегии и выполнять произвольный код от имени root.
CVE-2014-7960OpenStack Object Storage (Swift) до версии 2.2.0 позволяет удаленным аутентифицированным пользователям обходить ограничения max_meta_count и другие ограничения метаданных через множественные специально созданные запросы, которые превышают предел при объединении.
CVE-2018-10913В сервере glusterfs обнаружена уязвимость, связанная с раскрытием информации. Злоумышленник может отправить запрос xattr через glusterfs FUSE, чтобы определить существование любого файла.