DFN-CERT-2015-1688 OpenStack Swift: Mehrere Schwachstellen ermöglichen u.a. das Manipulieren von Daten [Linux][SuSE]

DFN-CERT-2015-1688 OpenStack Swift: Mehrere Schwachstellen ermöglichen u.a. das Manipulieren von Daten [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

OpenStack Swift

Betroffene Plattformen:

SUSE OpenStack Cloud Compute 5

Mehrere Schwachstellen in OpenStack Swift ermöglichen einem entfernten,
einfach authentifizierten Angreifer das Umgehen von Sicherheitsvorkehrungen
und das Manipulieren von Daten, wodurch auch ein partieller
Denial-of-Service-Zustand bewirkt werden kann, sowie einem entfernten, nicht
authentifizierten Angreifer das Ausspähen von Informationen.

Für SUSE OpenStack Cloud 5 stehen Sicherheitsupdates zur Verfügung.

Patch:

SUSE Security Update SUSE-SU-2015:1846-1

http://lists.opensuse.org/opensuse-security-announce/2015-10/msg00025.html

CVE-2015-5223: Schwachstelle in OpenStack Swift ermöglicht das Ausspähen von
Informationen

Eine Schwachstelle in OpenStack Object Storage (swift) basiert auf der
Möglichkeit, einen “temp URL key” für eine PUT-Aktion so zu missbrauchen,
dass andere Objekte offengelegt werden können. Ein entfernter, nicht
authentisierter Angreifer kann Informationen ausspähen.

CVE-2015-1856: Schwachstelle in OpenStack Swift erlaubt das unautorisierte
Überschreiben von Swift-Objekten

Bedingt durch eine Schwachstelle in OpenStack Swift ist es jedem
authentifizierten Nutzer möglich, die neueste Version eines versionierten
Swift-Objektes mit einer alten Kopie zu überschreiben, wenn dessen Name
innerhalb eines Containers mit dem X-Versions-Location-Metadatenfeld bekannt
ist und er Auflistungsrechte hat. Die Schwachstelle benötigt weder Schreib-
noch Leserechte, um ausgenutzt zu werden. Nur Swift-Konfigurationen mit der
“allow_version” Einstellung sind davon betroffen. Ein entfernter, einfach
authentisierter Angreifer kann Dateien manipulieren.

CVE-2014-7960: Schwachstelle in OpenStack Object Storage (Swift) erlaubt
Umgehen von Sicherheitsvorkehrungen

Eine Schwachstelle existiert in OpenStack Object Storage (Swift) vor Version
2.2.0. Ein entfernter, authentisierter Benutzer, als Angreifer, kann diese
Schwachstelle durch das Übermitteln mehrerer präparierter Anfragen
ausnutzen, um durch die Kombination der Anfragen die “max_meta_count” und
andere “metadata”-Einschränkungen zu umgehen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1688/

Schwachstelle CVE-2014-7960 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7960

Schwachstelle CVE-2015-1856 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1856

Schwachstelle CVE-2015-5223 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5223

SUSE Security Update SUSE-SU-2015:1846-1:
http://lists.opensuse.org/opensuse-security-announce/2015-10/msg00025.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben