DFN-CERT-2015-0890 cinder: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Debian][Fedora]

DFN-CERT-2015-0890 cinder: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Debian][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Cinder < 2014.1.3-11 Cinder < 2014.1.4-2 Betroffene Plattformen: Debian Linux 8.1 Jessie Red Hat Fedora 21 Durch Ausnutzen einer Schwachstelle in cinder, einem "storage-as-a-service"-System, ist es einem entfernten, authentifizierten Benutzer, als Angreifer, möglich, beliebige Dateien auf einem cinder-Server mit Leserechten auszuspähen. Für die Distributionen Debian Jessie (8.1) und Fedora 21 werden Sicherheitsupdates für Openstack cinder zur Verfügung gestellt. Patch: Debian Security Advisory DSA-3292-1 https://www.debian.org/security/2015/dsa-3292

Patch:

Fedora Security Update FEDORA-2015-10254

https://admin.fedoraproject.org/updates/FEDORA-2015-10254/openstack-cinder-2014.1.4-2.fc21

CVE-2015-1851: Schwachstelle in cinder ermöglicht Ausspähen von
Informationen

Eine Schwachstelle in cinder ermöglicht über die “qcow2 backing”-Datei
Leserechte für jede beliebige Datei auf dem cinder-Server zu erlangen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0890/

Debian Security Advisory DSA-3292-1:
https://www.debian.org/security/2015/dsa-3292

Fedora Security Update FEDORA-2015-10254:
https://admin.fedoraproject.org/updates/FEDORA-2015-10254/openstack-cinder-2014.1.4-2.fc21

Schwachstelle CVE-2015-1851 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1851

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben