Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (11.10.2017):
Canonical veröffentlicht ein Sicherheitsupdate für Ubuntu 14.04 LTS für
OpenStack Horizon zur Behebung der Schwachstelle.
Version 2 (23.06.2016):
Für Fedora 23 steht ein Sicherheitsupdate in Form des Paketes
python-django-horizon-2015.1.4-1.fc23 im Status ‘testing’ bereit.
Version 1 (22.06.2016):
Neues Advisory

Betroffene Software:

OpenStack Horizon
Red Hat Enterprise Linux OpenStack 5
Red Hat Enterprise Linux OpenStack 6
Red Hat Enterprise Linux OpenStack 7
Red Hat Enterprise Linux OpenStack 8

Betroffene Plattformen:

Canonical Ubuntu Linux 14.04 LTS
Red Hat Enterprise Linux 6
Red Hat Enterprise Linux 7
Red Hat Fedora 23

Eine Schwachstelle in OpenStack Horizon ermöglicht einem entfernten, einfach
authentifizierten Angreifer einen Cross-Site-Scripting (XSS)-Angriff
durchzuführen.

Red Hat stellt Sicherheitsupdates für OpenStack 5 (Icehouse) für Red Hat
Enterprise Linux 6 sowie für OpenStack 5 (Icehouse), 6 (Juno), 7 (Kilo) und
8 (Liberty) für Red Hat Enterprise Linux 7 bereit.

Patch:

Fedora Security Update FEDORA-2016-e538b11379 (Fedora 23)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-e538b11379

Patch:

Red Hat Security Advisory RHSA-2016:1268-1

http://rhn.redhat.com/errata/RHSA-2016-1268.html

Patch:

Red Hat Security Advisory RHSA-2016:1269-1

http://rhn.redhat.com/errata/RHSA-2016-1269.html

Patch:

Red Hat Security Advisory RHSA-2016:1270-1

http://rhn.redhat.com/errata/RHSA-2016-1270.html

Patch:

Red Hat Security Advisory RHSA-2016:1271-1

http://rhn.redhat.com/errata/RHSA-2016-1271.html

Patch:

Red Hat Security Advisory RHSA-2016:1272-1

http://rhn.redhat.com/errata/RHSA-2016-1272.html

Patch:

Ubuntu Security Notice USN-3447-1

http://www.ubuntu.com/usn/usn-3447-1/

CVE-2016-4428: Schwachstelle in OpenStack Horizon ermöglicht
Cross-Site-Scripting-Angriff

Es existiert eine Schwachstelle in OpenStack Horizon aufgrund unzureichender
Bereinigung von bereitgestellten AngularJS-Inhalten. Ein Benutzer, in der
Rolle als Angreifer, kann diese Schwachstelle ausnutzen und speziell
präparierte AngularJS-Vorlagen in den Dashboard-Vorlagen bereitstellen, um
andere Benutzer dazu zu verleiten, diese zu verwenden. Dadurch kann der
Angreifer Cross-Site-Scripting (XSS)-Angriffe durchführen und so
Informationen ausspähen, wie beispielsweise die Zugangsidentitäten von
Benutzern.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1010/

Schwachstelle CVE-2016-4428 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4428

Fedora Security Update FEDORA-2016-e538b11379 (Fedora 23):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-e538b11379

Red Hat Security Advisory RHSA-2016:1268-1:
http://rhn.redhat.com/errata/RHSA-2016-1268.html

Red Hat Security Advisory RHSA-2016:1269-1:
http://rhn.redhat.com/errata/RHSA-2016-1269.html

Red Hat Security Advisory RHSA-2016:1270-1:
http://rhn.redhat.com/errata/RHSA-2016-1270.html

Red Hat Security Advisory RHSA-2016:1271-1:
http://rhn.redhat.com/errata/RHSA-2016-1271.html

Red Hat Security Advisory RHSA-2016:1272-1:
http://rhn.redhat.com/errata/RHSA-2016-1272.html

Ubuntu Security Notice USN-3447-1:
http://www.ubuntu.com/usn/usn-3447-1/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.