DFN-CERT-2013-0941 Mehrere Schwachstellen in OpenStack Keystone [Linux][Fedora]

DFN-CERT-2013-0941 Mehrere Schwachstellen in OpenStack Keystone [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket openstack-keystone

Betroffene Plattformen:

Fedora 18

Schwachstellen in OpenStack Keystone erlauben einem Angreifer Zugriff auf
vertrauliche Informationen und die Umgehung von Sicherheitsmechanismen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://dl.fedoraproject.org/pub/fedora/linux/updates/

CVE-2013-2006: Schwachstelle in OpenStack Keystone

In OpenStack Keystone werden ab einem Loglevel von ‘DEBUG’ sensible
Informationen in die Logdatei geschrieben. Da die Logdatei für jeden lesbar
ist, ist es einem lokalen Angreifer damit möglich, Zugriff auf sensible
Informationen zu erlangen.

CVE-2013-2030: Schwachstelle in OpenStack Keystone

In OpenStack existiert eine Schwachstelle in der Erzeugung und Verwaltung
des Verzeichnisses für die Signaturdaten. Aufgrund der Voreinstellung für
das Verzeichnis ist es einem Angreifer schlimmstenfalls möglich,
Überprüfungen von Signaturen zu umgehen oder diese gezielt zu fälschen und
sich so erfolgreich bei der Middleware zu authentifizieren.

CVE-2013-2059: Schwachstelle in OpenStack Keystone

In OpenStack Keystone werden Token von gelöschten Nutzern nicht sofort
ungültig, sondern verbleiben für bis zu 24 Stunden im Status ‘gültig’. Das
Problem entsteht nur, falls der Nutzer mittels des v2-API gelöscht wurde.
Einem Angreifer, der sich Zugang zu dem Token eines gelöschten Nutzers
verschaffen kann, ist es damit möglich, für einen begrenzten Zeitraum
Zugriff auf bereitgestellte Inhalte zu erlangen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-0941/

Das Hersteller Advisory:
http://lists.fedoraproject.org/pipermail/package-announce/2013-May/105916.html

Schwachstelle CVE-2013-2059:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2059

Schwachstelle CVE-2013-2030:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2030

Schwachstelle CVE-2013-2006:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2006

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben