Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
OpenStack Swift >= 2.2.1
OpenStack Swift <= 2.3.0
OpenStack Swift >= 2.4.0
OpenStack Swift <= 2.5.0
Betroffene Plattformen:
Red Hat Fedora 23
Eine Schwachstelle erlaubt einem entfernten, einfach authentifizierten
Angreifer einen Denial-of-Service-Angriff ausführen.
Der Hersteller gibt an, dass diese Schwachstelle mit der Programmversion
Swift 2.6.0 behoben ist.
Fedora stellt für die Distribution Fedora 23 mit dem Paket
openstack-swift-2.3.0-3.fc23 ein Backport-Sicherheitsupdate im Status
'testing' bereit.
Patch:
Fedora Security Update FEDORA-2016-2256c80a94 (Fedora 23)
https://bodhi.fedoraproject.org/updates/FEDORA-2016-2256c80a94
Patch:
OpenStack Swift Changelog
https://github.com/openstack/swift/blob/master/CHANGELOG
CVE-2016-0738: Schwachstelle in OpenStack Swift ermöglicht
Denial-of-Service-Angriff
Es existiert eine Schwachstelle in OpenStacks Objektspeicher Swift bei der
Behandlung von URLs zu statischen und dynamischen, großen Objekten (Large
Objects). Es ist möglich durch wiederholten Aufbau und Abbruch einer
Verbindung zu einer solchen URL Ressourcen des Systems zu binden, da die
erzeugten Datei-Referenzen im Speicher verbleiben, woraus ein
Denial-of-Service (DoS)-Zustand des Swift Proxy-Servers resultiert.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0132/
Schwachstelle CVE-2016-0738 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0738
Fedora Security Update FEDORA-2016-2256c80a94 (Fedora 23):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-2256c80a94
OpenStack Swift Changelog:
https://github.com/openstack/swift/blob/master/CHANGELOG
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
