Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (11.10.2017):
Für Ubuntu 16.04 LTS steht ein Sicherheitsupdate für OpenStack Keystone
bereit, um die Schwachstelle zu beheben.
Version 2 (29.06.2017):
Für die Cloud-Computing Plattform Red Hat OpenStack 10.0 (Newton) für Red
Hat Enterprise Linux 7 steht ein Backport-Sicherheitsupdate für die
OpenStack Keystone Version 10.0.1 bereit.
Version 1 (15.06.2017):
Neues Advisory

Betroffene Software:

OpenStack Keystone < 9.3.0 OpenStack Keystone >= 10.0.0
OpenStack Keystone <= 10.0.1 OpenStack Keystone 11.0.0 Betroffene Plattformen: Red Hat Enterprise Linux OpenStack 9.0 (Mitaka) Red Hat Enterprise Linux OpenStack 10.0 (Newton) Canonical Ubuntu Linux 16.04 LTS Red Hat Enterprise Linux 7 Ein entfernter, einfach authentisierter Angreifer kann durch fehlerhaftes Identitätsmanagement in OpenStack Keystone Privilegien erhalten, die ihm eigentlich nicht zugedacht sind. Der Angreifer kann die Schwachstelle ausnutzen, indem er in einer föderalen Umgebung Berechtigungen für ein Projekt anfordert. Der Hersteller hat die Schwachstelle für OpenStack Keystone 10.0.0 bis 10.0.1 (Newton) und 11.0.0 (Ocata) bestätigt und für Newton, Ocata und Pike Patches zur Verfügung gestellt. Für die Cloud-Computing Plattform Red Hat OpenStack 9.0 (Mitaka) für Red Hat Enterprise Linux 7 steht ein Sicherheitsupdate für OpenStack Keystone auf Version 9.3.0 bereit. Für diese Version hat der Hersteller noch keine Versionshinweise zur Verfügung gestellt. Patch: OpenStack Security Advisory OSSA-2017-004: Incorrect role assignment with federated Keyston https://security.openstack.org/ossa/OSSA-2017-004.html

Patch:

Red Hat Security Advisory RHSA-2017:1461

http://rhn.redhat.com/errata/RHSA-2017-1461.html

Patch:

Red Hat Security Advisory RHSA-2017:1597

http://rhn.redhat.com/errata/RHSA-2017-1597.html

Patch:

Ubuntu Security Notice USN-3448-1

http://www.ubuntu.com/usn/usn-3448-1/

CVE-2017-2673: Schwachstelle in OpenStack Keystone ermöglicht
Privilegieneskalation

OpenStack Keystone unterstützt föderierte Identitäten (Federated
Identities), also über verschiedene Systeme existierende Identitäten. Falls
für die Zuweisung von Rollen (Federation Mapping) Regeln existieren, die
keine gruppenbasierten Zuweisungen verwenden, kann das dazu führen, dass ein
Benutzer in einer neu zugewiesenen Rolle fälschlicherweise privilegiert ist.
In diesem Fall werden einem Benutzer ohne Gruppenzugehörigkeit alle
Zuweisungen des Projekts oder der Domäne zugeordnet.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1032/

Schwachstelle CVE-2017-2673 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-2673

OpenStack Security Advisory OSSA-2017-004: Incorrect role assignment with
federated Keyston:
https://security.openstack.org/ossa/OSSA-2017-004.html

Red Hat Security Advisory RHSA-2017:1461:
http://rhn.redhat.com/errata/RHSA-2017-1461.html

OpenStack Keystone Mitaka Series Release Notes:
https://docs.openstack.org/releasenotes/keystone/mitaka.html

Red Hat Security Advisory RHSA-2017:1597:
http://rhn.redhat.com/errata/RHSA-2017-1597.html

Ubuntu Security Notice USN-3448-1:
http://www.ubuntu.com/usn/usn-3448-1/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.