DFN-CERT-2016-0225 OpenStack Swift: Zwei Schwachstellen ermöglichen Denial-of-Service-Angriffe [Linux][RedHat]

DFN-CERT-2016-0225 OpenStack Swift: Zwei Schwachstellen ermöglichen Denial-of-Service-Angriffe [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Red Hat Enterprise Linux OpenStack 5
Red Hat Enterprise Linux OpenStack 6

Betroffene Plattformen:

Red Hat Enterprise Linux 6
Red Hat Enterprise Linux 7

Zwei Schwachstellen in OpenStack Swift ermöglichen einem entfernten, einfach
authentisierten Angreifer durch wiederholten Verbindungsauf- und -abbau zu
großen Objekten (Large Objects) einen Denial-of-Service-Angriff gegen die
Verbindung Client zu Proxy ausführen.

Für Red Hat OpenStack 5.0 für RHEL 6 und RHEL 7 sowie Red Hat OpenStack 6.0
für RHEL 7 stehen Sicherheitsupdates in Form aktualisierter
‘openstack-swift’-Pakete zur Verfügung.

Patch:

Red Hat Security Advisory RHSA-2016:0126

http://rhn.redhat.com/errata/RHSA-2016-0126.html

Patch:

Red Hat Security Advisory RHSA-2016:0127

http://rhn.redhat.com/errata/RHSA-2016-0127.html

Patch:

Red Hat Security Advisory RHSA-2016:0128

http://rhn.redhat.com/errata/RHSA-2016-0128.html

CVE-2016-0737 CVE-2016-0738: Schwachstellen in OpenStack Swift ermöglichen
Denial-of-Service-Angriff

Es existieren zwei Schwachstellen in OpenStacks Objektspeicher Swift bei der
Behandlung von URLs zu statischen und dynamischen, großen Objekten (Large
Objects). Es ist möglich durch den wiederholten Aufbau und Abbruch einer
Verbindung zu einer solchen URL Ressourcen des Systems zu binden, da die
erzeugten Datei-Referenzen im Speicher verbleiben, woraus ein
Denial-of-Service (DoS)-Zustand des Swift Proxy-Servers resultiert.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0225/

Schwachstelle CVE-2016-0737 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0737

Schwachstelle CVE-2016-0738 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0738

Red Hat Security Advisory RHSA-2016:0126:
http://rhn.redhat.com/errata/RHSA-2016-0126.html

Red Hat Security Advisory RHSA-2016:0127:
http://rhn.redhat.com/errata/RHSA-2016-0127.html

Red Hat Security Advisory RHSA-2016:0128:
http://rhn.redhat.com/errata/RHSA-2016-0128.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben