Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

OpenStack Neutron

Betroffene Plattformen:

Red Hat Enterprise Linux OpenStack 5
Red Hat Enterprise Linux OpenStack 6
Red Hat Enterprise Linux 6
Red Hat Enterprise Linux 7

Eine Schwachstelle in OpenStack Neutron ermöglicht einem entfernten, einfach
authentifizierten Angreifer das Umgehen von Sicherheitsvorkehrungen.

Für Red Hat OpenStack 5.0 für RHEL 6 und RHEL 7 sowie Red Hat OpenStack 6.0
für RHEL 7 stehen Sicherheitsupdates in Form aktualisierter
‘openstack-neutron’-Pakete zur Verfügung.

Patch:

Red Hat Security Advisory RHSA-2015:1909

http://rhn.redhat.com/errata/RHSA-2015-1909.html

CVE-2015-5240: Schwachstelle in OpenStack Neutron ermöglicht Umgehen von
Sicherheitsvorkehrungen

Es existiert eine Schwachstelle in OpenStack Neutron, die aufgrund einer
Race Condition beim Anwenden von Firewall-Regeln hervorgerufen wird. Ändert
ein authentifizierter Benutzer den Eigentümer eines Ports, nachdem dieser
zugewiesen wurde, aber bevor diese Regel in der Firewall angewendet wurde,
ermöglicht dies die Acces-Control-List (ACL) zu umgehen und eine
Sicherheitskontrolle durch die Firewall zu verhindern.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1614/

Schwachstelle CVE-2015-5240 (Red Hat):
https://access.redhat.com/security/cve/CVE-2015-5240

Schwachstelle CVE-2015-5240 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5240

Red Hat Security Advisory RHSA-2015:1909:
http://rhn.redhat.com/errata/RHSA-2015-1909.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.