DFN-CERT-2017-1031 Red Hat OpenStack: Zwei Schwachstellen ermöglichen das Ausspähen von Informationen [Linux][RedHat]

DFN-CERT-2017-1031 Red Hat OpenStack: Zwei Schwachstellen ermöglichen das Ausspähen von Informationen [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Red Hat Enterprise Linux OpenStack 7.0 (Kilo)
Red Hat Enterprise Linux OpenStack 8.0 (Liberty)
Red Hat Enterprise Linux OpenStack 9.0 (Mitaka)

Betroffene Plattformen:

Red Hat Enterprise Linux 7

Zwei Schwachstellen in Red Hat OpenStack ermöglichen einem einfach
authentisierten Angreifer im benachbarten Netzwerk bzw. einem lokalen,
einfach authentisierten Angreifer das Ausspähen sensitiver Informationen.

Red Hat stellt für die OpenStack Platform 7.0 (Kilo), OpenStack Platform 8.0
(Liberty) und OpenStack Platform 9.0 (Mitaka) für Red Hat Enterprise Linux
(RHEL) 7 verschiedene Sicherheitsupdates zur Behebung der Schwachstelle
CVE-2016-9185 bereit. Für Red Hat OpenStack 9.0 for RHEL 7 wird zusätzlich
die Schwachstelle CVE-2017-2621 adressiert.

Patch:

Red Hat Security Advisory RHSA-2017:1450

http://rhn.redhat.com/errata/RHSA-2017-1450.html

Patch:

Red Hat Security Advisory RHSA-2017:1456

http://rhn.redhat.com/errata/RHSA-2017-1456.html

Patch:

Red Hat Security Advisory RHSA-2017:1464

http://rhn.redhat.com/errata/RHSA-2017-1464.html

CVE-2016-9185: Schwachstelle in Red Hat OpenStack Heat ermöglicht Ausspähen
von Informationen

Im Red Hat OpenStack Orchestration (Heat) Service existiert eine
Schwachstelle, die einem angemeldeten Benutzer durch das Öffnen eines neuen
Heat Stacks mit einer lokalen URL die Durchführung einer Netzwerkerkundung
(Network Discovery) ermöglicht, welche die interne Netzwerkkonfiguration
offenlegt. Ein einfach authentisierter Angreifer im benachbarten Netzwerk
kann diese Schwachstelle ausnutzen, um sensitive Informationen auszuspähen.

CVE-2017-2621: Schwachstelle in Red Hat OpenStack Heat ermöglicht Ausspähen
von Informationen

Im Red Hat OpenStack Orchestration (Heat) Service existiert eine
Schwachstelle, weil sämtliche Benutzer über die Berechtigungen zum Lesen des
Ordners ‘/var/log/heat/’ verfügen (world-readable). Die darin enthaltenen
Log-Dateien können dadurch von jedem gelesen werden, was einem lokalen,
einfach authentisierten Angreifer das Ausspähen sensitiver Informationen
ermöglicht.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1031/

Schwachstelle CVE-2016-9185 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9185

Schwachstelle CVE-2017-2621 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-2621

Red Hat Security Advisory RHSA-2017:1450:
http://rhn.redhat.com/errata/RHSA-2017-1450.html

Red Hat Security Advisory RHSA-2017:1456:
http://rhn.redhat.com/errata/RHSA-2017-1456.html

Red Hat Security Advisory RHSA-2017:1464:
http://rhn.redhat.com/errata/RHSA-2017-1464.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben