Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 4 (15.02.18):
Für Red Hat OpenStack 11.0 (Ocata) steht ein Sicherheitsupdate für
‘openstack-aodh’ zur Behebung der Schwachstelle zur Verfügung.
Version 3 (15.11.17):
Für Red Hat OpenStack 10.0 (Newton) steht ein Sicherheitsupdate für
‘openstack-aodh’ zur Behebung der Schwachstelle zur Verfügung.
Version 2 (04.10.17):
SUSE adressiert die Schwachstelle mittels eines Sicherheitsupdates für
OpenStack Cloud 7.
Version 1 (25.08.17):
Neues Advisory

Ein entfernter, authentisierter Benutzer, als Angreifer, kann ohne im Besitz
eines Keystone Tokens zu sein, also ohne die entsprechende Berechtigung,
authentisierte Aktionen durchführen und somit seine Privilegien erweitern.

Das Openstack Projekt hat einen Patch für Aodh als Sicherheitsupdate
bereitgestellt, durch den die Verwendung von Trust URLs, welche Trust IDs
enthalten, unterbunden und die Fehlermeldung ‘trust URL cannot contain a
trust ID’ geloggt wird. Nach der Installation muss der Webserver neu
gestartet werden, auf welchem das Aodh API läuft, typischerweise Apache. Der
Fix wurde auch in den Master (Pike), Openstack Ocata und Newton übernommen.

Debian stellt für die stabile Distribution Stretch (stable) ein
Sicherheitsupdate zur Verfügung.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2017-1495]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html