DFN-CERT-2016-1322 Red Hat OpenShift: Zwei Schwachstellen ermöglichen Denial-of-Service-Angriffe [Linux][RedHat]

DFN-CERT-2016-1322 Red Hat OpenShift: Zwei Schwachstellen ermöglichen Denial-of-Service-Angriffe [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

minimatch < 3.0.2 negotiator < 0.6.1 Betroffene Plattformen: Red Hat OpenShift 3.1 Enterprise Red Hat OpenShift 3.2 Enterprise Zwei Schwachstellen in den in Red Hat OpenShift Enterprise eingesetzten Produkten Minimatch und Negotiator ermöglichen einem entfernten, nicht authentisierten Angreifer mit Hilfe regulärer Ausdrücke die Durchführung von Denial-of-Service (DoS)-Angriffen. Für Red Hat OpenShift Enterprise 3.1 und 3.2 stehen Sicherheitsupdates bereit. Patch: Red Hat Security Advisory RHSA-2016:1605 https://access.redhat.com/errata/RHSA-2016:1605

CVE-2016-1000022: Schwachstelle in Negotiator ermöglicht
Denial-of-Service-Angriff

In Negotiator existiert eine nicht näher spezifizierte Schwachstelle bei der
Verarbeitung des Headers für ‘Accept-Language’. Ein Angreifer kann mittels
eines regulären Ausdrucks bewirken, dass eine Anwendung exzessiv
CPU-Ressourcen verbraucht, wodurch ein vollständiger
Denial-of-Service-Zustand bei dem betroffenen System eintreten kann. Ein
entfernter, nicht authentifizierter Angreifer kann einen
Denial-of-Service-Angriff ausführen, indem er eine mit Negotiator verknüpfte
Anwendung zur Verarbeitung einer speziell präparierten Zeichenkette bringt.

CVE-2016-1000023: Schwachstelle in Minimatch ermöglicht
Denial-of-Service-Angriff

Der Parameter ‘pattern’ beim Funktionsaufruf von ‘minimatch(path, pattern)’
ist für einen Denial-of-Service-Angriff mittels eines regulären Ausdrucks
(Regular Expression Denial-of-Service, ReDoS) anfällig, da der Ausdruck
‘((?:\\{2})*)’ an einer Stelle im Programmcode mit ‘\\’ matcht, was bei
langen Zeichenketten sich wiederholender umgekehrter Schrägstriche
(Backslashes) zu einer großen Anzahl möglicher Pfade führt. Ein entfernter,
nicht authentifizierter Angreifer kann einen Denial-of-Service-Angriff
ausführen, indem er eine mit Minimatch verknüpfte Anwendung zur Verarbeitung
einer speziell präparierten Zeichenkette bringt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1322/

Schwachstelle CVE-2016-1000023 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1000023

Schwachstelle CVE-2016-1000022 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1000022

Red Hat Security Advisory RHSA-2016:1605:
https://access.redhat.com/errata/RHSA-2016:1605

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben