Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket openstack-nova

Betroffene Plattformen:

Fedora 16

Eine Schwachstelle in OpenStack Compute (Nova) ermöglicht einem entfernten,
angemeldeten Angreifer das System, auf dem OpenStack ausgeführt wird, zum
Absturz zu bringen (Denial-of-Service) oder schlimmstenfalls Root-Rechte zu
erlangen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://dl.fedoraproject.org/pub/fedora/linux/updates/

CVE-2012-3361: File-Injection-Schwachstelle in OpenStack Compute (Nova)

In OpenStack Compute (Nova) werden beim Hochladen von Bildern (bei einem
sogenannten Request) diese nicht ausreichend überprüft. Dadurch ist es einem
entfernten, angemeldeten Angreifer möglich mittels einer gezielt
manipulierten Bilddatei das System, auf dem OpenStack Compute ausgeführt
wird, zum Absturz zu bringen (Denial-of-Service) oder möglicherweise seine
Privilegien zu erweitern.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-1405/

Das Hersteller Advisory:
http://lists.fedoraproject.org/pipermail/package-announce/2012-July/083969.html

Schwachstelle CVE-2012-3361:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-3361

Schwachstelle CVE-2012-2654:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2654

Schwachstelle CVE-2012-2101:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2101

Schwachstelle CVE-2012-1585:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1585

Schwachstelle CVE-2012-0030:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0030

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.