UPDATE: DFN-CERT-2017-1526 Red Hat OpenStack: Eine Schwachstelle ermöglicht die Manipulation von Dateien [Linux][RedHat]

UPDATE: DFN-CERT-2017-1526 Red Hat OpenStack: Eine Schwachstelle ermöglicht die Manipulation von Dateien [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (14.09.2017):
Red Hat stellt jetzt auch für OpenStack 11.0 (Ocata) ein Sicherheitsupdate
für ‘instack-undercloud’ zur Verfügung, um die Schwachstelle zu beheben.
Version 3 (13.09.2017):
Red Hat veröffentlicht für OpenStack 7.0 (Kilo) und OpenStack 8.0
(Liberty) Sicherheitsupdates für ‘instack-undercloud’.
Version 2 (07.09.2017):
Für OpenStack 10.0 (Newton) steht instack-undercloud 5.3.0 als
Sicherheitsupdate zur Behebung der Schwachstelle bereit.
Version 1 (30.08.2017):
Neues Advisory

Betroffene Software:

instack-undercloud

Betroffene Plattformen:

Red Hat Enterprise Linux OpenStack 7.0 (Kilo)
Red Hat Enterprise Linux OpenStack 8.0 (Liberty)
Red Hat Enterprise Linux OpenStack 9.0 (Mitaka)
Red Hat Enterprise Linux OpenStack 10.0 (Newton)
Red Hat Enterprise Linux OpenStack 11.0 (Ocata)

Ein lokaler, einfach authentisierter Angreifer kann eine Schwachstelle in
‘instack-undercloud’ zur Manipulation von Dateien ausnutzen.

Für den Red Hat OpenStack Platform 9.0 (Mitaka) Director stehen
Sicherheitsupdates für ‘instack-undercloud’ bereit, durch die diese
Schwachstelle adressiert wird.

Patch:

Red Hat Security Advisory RHSA-2017:2557

https://access.redhat.com/errata/RHSA-2017:2557

Patch:

Red Hat Security Advisory RHSA-2017:2649

https://access.redhat.com/errata/RHSA-2017:2649

Patch:

Red Hat Security Advisory RHSA-2017:2687

https://access.redhat.com/errata/RHSA-2017:2687

Patch:

Red Hat Security Advisory RHSA-2017:2693

https://access.redhat.com/errata/RHSA-2017:2693

Patch:

Red Hat Security Advisory RHSA-2017:2726

https://access.redhat.com/errata/RHSA-2017:2726

CVE-2017-7549: Schwachstelle in instack-undercloud ermöglicht Angriffe über
symbolische Links

Die in der Skriptsammlung ‘instack-undercloud’ enthaltenen Skripte
‘pre-install’ und ‘security policy’ verwenden aufgrund eines hartkodierten
‘/tmp’-Pfades unsichere temporäre Dateien (Unsecure Files). Dadurch sind
Angriffe mittels symbolischer Links möglich, durch welche die Inhalte
beliebiger Dateien überschrieben werden können.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1526/

Schwachstelle CVE-2017-7549 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7549

Red Hat Security Advisory RHSA-2017:2557:
https://access.redhat.com/errata/RHSA-2017:2557

Red Hat Security Advisory RHSA-2017:2649:
https://access.redhat.com/errata/RHSA-2017:2649

Red Hat Security Advisory RHSA-2017:2687:
https://access.redhat.com/errata/RHSA-2017:2687

Red Hat Security Advisory RHSA-2017:2693:
https://access.redhat.com/errata/RHSA-2017:2693

Red Hat Security Advisory RHSA-2017:2726:
https://access.redhat.com/errata/RHSA-2017:2726

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben