Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 3 (01.03.2016):
Für Red Hat Gluster Storage 3.1 Update 2 in RHEL 6 (Red Hat Storage Server
3.0) auf RHEL 7 stehen Sicherheitsupdates in Form aktualisierter
‘openstack-swift’-Pakete zur Verfügung.
Version 2 (10.02.2016):
Für Red Hat OpenStack 7.0 für RHEL 7 stehen Sicherheitsupdates in Form
aktualisierter ‘openstack-swift’-Pakete zur Verfügung.
Version 1 (08.02.2016):
Neues Advisory
Betroffene Software:
Red Hat Enterprise Linux OpenStack 5
Red Hat Enterprise Linux OpenStack 6
Red Hat Enterprise Linux OpenStack 7
Red Hat Gluster Storage 3.1
Red Hat Storage Server 3.0
Betroffene Plattformen:
Red Hat Enterprise Linux 6
Red Hat Enterprise Linux 7
Zwei Schwachstellen in OpenStack Swift ermöglichen einem entfernten, einfach
authentisierten Angreifer durch wiederholten Verbindungsauf- und -abbau zu
großen Objekten (Large Objects) einen Denial-of-Service-Angriff gegen die
Verbindung Client zu Proxy ausführen.
Für Red Hat OpenStack 5.0 für RHEL 6 und RHEL 7 sowie Red Hat OpenStack 6.0
für RHEL 7 stehen Sicherheitsupdates in Form aktualisierter
‘openstack-swift’-Pakete zur Verfügung.
Patch:
Red Hat Security Advisory RHSA-2016:0126
http://rhn.redhat.com/errata/RHSA-2016-0126.html
Patch:
Red Hat Security Advisory RHSA-2016:0127
http://rhn.redhat.com/errata/RHSA-2016-0127.html
Patch:
Red Hat Security Advisory RHSA-2016:0128
http://rhn.redhat.com/errata/RHSA-2016-0128.html
Patch:
Red Hat Security Advisory RHSA-2016:0155
http://rhn.redhat.com/errata/RHSA-2016-0155.html
Patch:
Red Hat Security Advisory RHSA-2016:0328
http://rhn.redhat.com/errata/RHSA-2016-0328.html
Patch:
Red Hat Security Advisory RHSA-2016:0329
http://rhn.redhat.com/errata/RHSA-2016-0329.html
CVE-2016-0737 CVE-2016-0738: Schwachstellen in OpenStack Swift ermöglichen
Denial-of-Service-Angriff
Es existieren zwei Schwachstellen in OpenStacks Objektspeicher Swift bei der
Behandlung von URLs zu statischen und dynamischen, großen Objekten (Large
Objects). Es ist möglich durch den wiederholten Aufbau und Abbruch einer
Verbindung zu einer solchen URL Ressourcen des Systems zu binden, da die
erzeugten Datei-Referenzen im Speicher verbleiben, woraus ein
Denial-of-Service (DoS)-Zustand des Swift Proxy-Servers resultiert.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0225/
Schwachstelle CVE-2016-0737 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0737
Schwachstelle CVE-2016-0738 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0738
Red Hat Security Advisory RHSA-2016:0126:
http://rhn.redhat.com/errata/RHSA-2016-0126.html
Red Hat Security Advisory RHSA-2016:0127:
http://rhn.redhat.com/errata/RHSA-2016-0127.html
Red Hat Security Advisory RHSA-2016:0128:
http://rhn.redhat.com/errata/RHSA-2016-0128.html
Red Hat Security Advisory RHSA-2016:0155:
http://rhn.redhat.com/errata/RHSA-2016-0155.html
Red Hat Security Advisory RHSA-2016:0328:
http://rhn.redhat.com/errata/RHSA-2016-0328.html
Red Hat Security Advisory RHSA-2016:0329:
http://rhn.redhat.com/errata/RHSA-2016-0329.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
