UPDATE: DFN-CERT-2017-0879 Red Hat OpenShift, Red Hat Gluster Storage, Ansible: Zwei Schwachstellen ermöglichen die Ausführung beliebigen Programmcodes [Linux][RedHat]

UPDATE: DFN-CERT-2017-0879 Red Hat OpenShift, Red Hat Gluster Storage, Ansible: Zwei Schwachstellen ermöglichen die Ausführung beliebigen Programmcodes [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (26.05.2017):
Für Red Hat Gluster Storage 3.2 für Red Hat Enterprise Linux 7 steht ein
Sicherheitsupdate zur Behebung der Schwachstellen in Ansible zur
Verfügung.
Version 1 (18.05.2017):
Neues Advisory

Betroffene Software:

Ansible
Red Hat OpenShift Container Platform 3.2
Red Hat OpenShift Container Platform 3.3
Red Hat OpenShift 3.4
Red Hat OpenShift 3.5
Red Hat Gluster Storage 3.2 for RHEL 7

Betroffene Plattformen:

Red Hat OpenShift
Red Hat Enterprise Linux 7

Zwei Schwachstellen in Ansible betreffen auch verschiedene Versionen von Red
Hat OpenShift und ermöglichen einem entfernten, nicht authentisierten
Angreifer die Ausführung beliebigen Programmcodes.

Red Hat stellt für die OpenShift Container Platform in den Versionen 3.2,
3.3, 3.4 und 3.5 Sicherheitsupdates für ‘ansible’, ‘atomic-openshift-utils’
und ‘openshift-ansible’ zur Verfügung.

Patch:

Red Hat Security Advisory RHSA-2017:1244

https://access.redhat.com/errata/RHSA-2017:1244

Patch:

Red Hat Security Advisory RHSA-2017:1334-1

http://rhn.redhat.com/errata/RHSA-2017-1334.html

CVE-2017-7481: Schwachstelle in Ansible ermöglicht Ausführung beliebigen
Programmcodes

Die Ergebnisse der Funktion ‘lookup’ werden unter Umständen von nicht
korrekt als ‘unsicher’ markiert. Ein entfernter, nicht authentisierter
Angreifer, der die Ergebnisse eines Aufrufs von ‘lookup’ kontrollieren kann,
kann Unicode-Zeichen in diese Ergebnisse injizieren, die bei Verarbeitung
durch das Template-System ‘jinja2’ zur Ausführung beliebigen Programmcodes
führen können.

CVE-2017-7466: Schwachstelle in Ansible ermöglicht Ausführung beliebigen
Programmcodes mit den Rechten des Dienstes

In Ansible existiert eine nicht näher beschriebene Schwachstelle aufgrund
der unzureichenden Validierung von Eingaben. Ein entfernter, nicht
authentisierter Angreifer, der Kontrolle über ein Client-System hat und in
der Lage ist, Informationen an den Ansible-Server zurück zu schicken, kann
beliebigen Programmcode auf dem Ansible-Controller mit den
Ansible-Server-Privilegien zur Ausführung bringen (unvollständige
Fehlerbehebung für CVE-2016-9587).

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0879/

Schwachstelle CVE-2017-7466 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7466

Schwachstelle CVE-2017-7481 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7481

Red Hat Security Advisory RHSA-2017:1244:
https://access.redhat.com/errata/RHSA-2017:1244

Red Hat Security Advisory RHSA-2017:1334-1:
http://rhn.redhat.com/errata/RHSA-2017-1334.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben