DFN-CERT-2015-1190 Red Hat Storage Server: Mehrere Schwachstellen erlauben u.a. die Ausführung beliebigen Programmcodes [Linux][RedHat]

DFN-CERT-2015-1190 Red Hat Storage Server: Mehrere Schwachstellen erlauben u.a. die Ausführung beliebigen Programmcodes [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Red Hat Storage Server 3.0

Betroffene Plattformen:

Red Hat Storage Server

Mehrere Schwachstellen in vom Red Hat Storage Server und weiteren Red Hat
Storage Modulen genutzten Komponenten ermöglichen einem entfernten, einfach
authentisierten Angreifer das Manipulieren von Dateien, Umgehen von
Sicherheitsvorkehrungen und Durchführen von Cross-Site-Scripting-Angriffen.
Ein entfernter, nicht authentisierter Angreifer ist zusätzlich in der Lage,
beliebigen Programmcode zur Ausführung zu bringen.

Patch:

Red Hat Security Advisory RHSA-2015:1495

http://rhn.redhat.com/errata/RHSA-2015-1495.html

CVE-2014-7960: Schwachstelle in OpenStack Object Storage (Swift) erlaubt
Umgehen von Sicherheitsvorkehrungen

Eine Schwachstelle existiert in OpenStack Object Storage (Swift) bevor
2.2.0. Ein entfernter, authentisierter Benutzer, als Angreifer, kann diese
Schwachstelle ausnutzen, mittels mehrfacher präparierter Anfragen, die in
Kombination das Limit übertreffen, um die “max_meta_count” und andere
“metadata”-Einschränkungen zu umgehen.

CVE-2014-5340: Schwachstelle ermöglicht die Ausführung von beliebigen
Programmcode

Es besteht eine Schwachstelle in der WATO-Komponente von Check_MK, die
unsichere Systemaufrufe des Phython-Moduls pickle zulässt. Ein entfernter,
nicht authentisierter Angreifer kann, durch Eingabe einer handgefertigten
URL, die Schwachstelle dazu ausnutzen, beliebigen Programmcode über ein
speziell präpariertes serialisiertes Objekt zur Ausführung zu bringen.

Das empfohlene Sicherheitsupdate ist nicht abwärtskompatibel.

CVE-2014-5339: Schwachstelle ermöglicht die Erstellung beliebiger
MK-Konfigurationsdateien

Die Check_MK Anwendung enthält eine Schwachstelle, die Schreibberechtigungen
fehlerhaft überprüft. Ein entfernter, einfach authentisierter Angreifer kann
die Schwachstelle ausnutzen und beliebige MK-Konfigurationsdateien im
Dateisystem anlegen.

CVE-2014-5338: Schwachstelle ermöglicht Cross-Site-Scripting

Check_MK enthält mehrere Cross-Site-Scripting-Schwachstellen, die auf
fehlerhafte Implementierungen der “render_status_icons”-Funktion in
“htmllib.py” bzw. der “ajax_action” Funktion in “actions.py” zurückzuführen
sind. Ein entfernter und einfach authentisierter Angreifer kann durch einen
reflektierten Cross-Site-Scripting-Angriff die Schwachstelle ausnutzen und
Zugriff auf Check_MK mit den Rechten des Anwenders erlangen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1190/

Schwachstelle CVE-2014-5338 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-5338

Schwachstelle CVE-2014-5339 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-5339

Schwachstelle CVE-2014-5340 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-5340

Schwachstelle CVE-2014-7960 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7960

Red Hat Security Advisory RHSA-2015:1495:
http://rhn.redhat.com/errata/RHSA-2015-1495.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben