Liebes Linux-Magazin-Team,
bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.
Historie:
Version 6 (08.11.23):
Für Red Hat Enterprise Linux for x86_64 / ARM 64 9 (x86_64, aarch64)
stehen Sicherheitsupdates für ‘python-tornado’ bereit, um die
Schwachstelle zu beheben. Die Sicherheitsupdates werden im Kontext des Red
Hat Enterprise Linux 9.3 Releases veröffentlicht.
Version 5 (02.08.23):
Für SUSE Manager Client Tools for Ubuntu 20.04 steht ein Sicherheitsupdate
für ‘SUSE Manager Client Tools’ zur Verfügung.
Version 4 (02.08.23):
SUSE veröffentlicht für ‘salt’, ‘SUSE Manager Salt Bundle’ und ‘SUSE
Manager Client Tools’ für eine Vielzahl von Plattformen
Sicherheitsupdates, um die referenzierte Schwachstelle zu beheben. Diese
Schwachstelle wird dabei abweichend von der NVD-Einstufung von SUSE als
schwer auszunutzend (Access Complexity (AC) = high) und ohne Auswirkung
auf die Vertraulichkeit (Confidentiality (C) = none) bewertet. Die in
dieser Meldung verwendete Einstufung von Red Hat sieht ebenfalls ‘nur’ die
Integrität beeinträchtigt.
Für SUSE Manager Client Tools for Debian 10 stehen Sicherheitsupdates für
‘SUSE Manager Client Tools’ und ‘SUSE Manager Salt Bundle’ und für SUSE
Manager Client Tools for Debian 11 steht ein Update für ‘SUSE Manager Salt
Bundle’ bereit.
Für SUSE Manager Client Tools for RHEL, Liberty and Clones 9 ist ein
Sicherheitsupdate für ‘SUSE Manager Salt Bundle’ verfügbar.
Für SUSE Manager Client Tools for Ubuntu 18.04 stehen Sicherheitsupdates
für ‘SUSE Manager Client Tools’ und ‘SUSE Manager Salt Bundle’ zur
Verfügung. Für SUSE Manager Client Tools for Ubuntu 20.04 und for Ubuntu
22.04 werden Sicherheitsupdates für ‘SUSE Manager Salt Bundle’
veröffentlicht.
SUSE stellt Sicherheitsupdate für ‘salt’ für SUSE CaaS Platform 4.0, SUSE
Enterprise Storage 7 und 7.1, Basesystem Module 15 SP4 und 15 SP5,
openSUSE Leap 15.4 und 15.5, openSUSE Leap Micro 5.3 und 5.4, Server
Applications Module 15 SP4 und 15 SP5 und die SUSE Linux Enterprise
Produkte High Performance Computing 15 SP1, 15 SP1 LTSS, 15 SP2, 15 SP2
LTSS, 15 SP3, 15 SP3 ESPOS, 15 SP3 LTSS, 15 SP4 und 15 SP5, Server 15 SP1,
15 SP1 LTSS, 15 SP2,15 SP2 LTSS, 15 SP3, 15 SP3 LTSS, 15 SP4 und 15 SP5,
Server for SAP Applications 15 SP1, 15 SP2, 15 SP3, 15 SP4 und 15 SP5,
Desktop 15 SP4 und 15 SP5, Micro 5.1, 5.2, 5.3, 5.4, for Rancher 5.2, for
Rancher 5.3 und for Rancher 5.4, Real Time 15 SP3, 15 SP4 und 15 SP5, SUSE
Manager Proxy 4.2 und 4.3, Retail Branch Server 4.2 und 4.3 und Server 4.2
und 4.3 sowie Transactional Server Module 15 SP4 und 15 SP5 bereit.
Sicherheitsupdates für ‘SUSE Manager Salt Bundle’ stehen für openSUSE Leap
15.4 und 15.5, die SUSE Linux Enterprise Produkte Desktop 12, 12 SP1, 12
SP2, 12 SP3, 12 SP4, 15, 15 SP1, 15 SP2, 15 SP3, 15 SP4 und 15 SP5, High
Performance Computing 12 SP2, 12 SP3, 12 SP4, 12 SP5, 15, 15 SP1, 15 SP2,
15 SP3, 15 SP4 und 15 SP5, Micro 5.0, 5.1, 5.2, 5.3 und 5.4, Real Time 15
SP1, 15 SP2, 15 SP3, 15 SP4 und 15 SP5, Server 12, 12 SP1, 12 SP2, 12 SP3,
12 SP4, 12 SP5, 15, 15 SP1, 15 SP2, 15 SP3, 15 SP4 und 15 SP5, Server for
SAP Applications 12, 12 SP1, 12 SP2, 12 SP3, 12 SP4, 12 SP5, 15, 15 SP1,
15 SP2, 15 SP3, 15 SP4 und 15 SP5, Server for the Raspberry Pi 12 SP2,
SUSE Manager Client Tools for SLE 12, 15 und Micro 5, SUSE Manager Proxy
4.3, Retail Branch Server 4.3 und Server 4.3 zur Verfügung.
Die Sicherheitsupdates für ‘SUSE Manager Client Tools’ zur Behebung der
Schwachstelle sind für die Produkte Advanced Systems Management Module 12,
SUSE Manager Client Tools for SLE 12, 15 und Micro 5, Basesystem Module 15
SP4 und 15 SP5, openSUSE Leap 15.4 und 15.5, openSUSE Leap Micro 5.3 und
5.4, SUSE CaaS Platform 4.0, SUSE Enterprise Storage 7 und 7.1, SUSE
Manager Proxy 4.2 und 4.3, Retail Branch Server 4.2 und 4.3, Server 4.2
und 4.3, die SUSE Linux Enterprise Produkte Desktop 12, 12 SP1, 12 SP2, 12
SP3, 12 SP4, 15, 15 SP1, 15 SP2, 15 SP3, 15 SP4 und 15 SP5, Mirco 5.0,
5.1, 5.2, 5.3, 5.4, for Rancher 5.2, for Rancher 5.3 und for Rancher 5.4,
Real Time 15 SP1,15 SP2, 15 SP3, 15 SP4 und 15 SP5, High Performance
Computing 12 SP2, 12 SP3, 12 SP4, 12 SP5, 15, 15 SP1, 15 SP1 LTSS, 15 SP2,
15 SP2 LTSS, 15 SP3, 15 SP3 LTSS, 15 SP3 ESPOS, 15 SP4 und 15 SP5, Server
12, 12 SP1, 12 SP2, 12 SP3, 12 SP4, 12 SP5, 15, 15 SP1, 15 SP1 LTSS, 15
SP2, 15 SP2 LTSS, 15 SP3, 15 SP3 LTSS, 15 SP4 und 15 SP5, Server for SAP
Applications 12, 12 SP1, 12 SP2, 12 SP3, 12 SP4, 12 SP5, 15, 15 SP1, 15
SP2, 15 SP3, 15 SP4 und 15 SP5 sowie Server for the Raspberry Pi 12 SP2
verfügbar.
Version 3 (12.07.23):
Für SUSE Linux Enterprise Server 12 SP4 sowie SUSE OpenStack Cloud 9 und
Cloud Crowbar 9 stehen Sicherheitsupdates für ‘python-tornado’ zur
Verfügung, um die referenzierte Schwachstelle zu beheben.
Version 2 (04.07.23):
Für SUSE Linux Enterprise High Performance Computing 12 SP3, SUSE Linux
Enterprise Server 12 SP3, SUSE OpenStack Cloud 8 und SUSE OpenStack Cloud
Crowbar 8 stehen Sicherheitsupdates für ‘python-tornado’ bereit, um die
Schwachstelle zu beheben.
Version 1 (14.06.23):
Neues Advisory
Ein Angreifer kann eine Schwachstelle aus der Ferne ausnutzen, um einen
Open-Redirect-Angriff durchzuführen.
Für die Ausnutzung der Schwachstelle sind keine Privilegien erforderlich.
Die Schwachstelle erfordert die Interaktion eines Benutzers und deren
erfolgreiche Ausnutzung kann Einfluss auf andere Komponenten haben.
Für Ubuntu 23.04 und Ubuntu 16.04 ESM stehen Sicherheitsupdates für ‘python-
tornado’ bereit, um die Schwachstelle zu adressieren.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2023-1373]
Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team
—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html
