Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 7 (23.09.2015):
Für SUSE OpenStack Cloud Compute 5 steht ein Sicherheitsupdate bereit.
Version 6 (02.09.2015):
Für die Red Hat Enterprise Linux OpenStack Plattform 6.0 für RHEL 7 stehen
Sicherheitsupdates in Form aktualisierter python-keystoneclient- und
python-keystonemiddleware-Pakete zur Verfügung.
Version 5 (26.08.2015):
SUSE stellt für SUSE OpenStack Cloud 5 ein Sicherheitsupdate bereit.
Version 4 (25.08.2015):
Für die Red Hat Enterprise Linux OpenStack Platform 5.0 auf RHEL 6 und 7
stehen Sicherheitsupdates bereit.
Version 3 (16.07.2015):
Für die Distribution Fedora 22 steht ein neues Sicherheitsupdate auf die
Version 1.3.2 im Status ‘testing’ zur Verfügung. Das zuvor veröffentlichte
Update FEDORA-2015-7383 wurde in den Status ‘obsolete’ überführt.
Version 2 (09.07.2015):
SUSE stellt ein Sicherheitsupdate für SUSE OpenStack Cloud Compute 5
bereit.
Version 1 (05.05.2015):
Neues Advisory
Betroffene Software:
Keystone < 1.6.0 python-keystoneclient < 1.4.0 Betroffene Plattformen: Red Hat Enterprise Linux OpenStack 5 Red Hat Enterprise Linux OpenStack 6 SUSE OpenStack Cloud Compute 5 SUSE Cloud 5 SUSE Cloud 5 Openstack Red Hat Enterprise Linux 6 Red Hat Enterprise Linux 7 Red Hat Fedora 22 Ein entfernter, nicht authentifizierter Angreifer kann durch ein präpariertes Zertifikat einen Man-in-the-Middle-Angriff durchführen und Zugriff auf sensible Informationen erhalten. Patch: SUSE Security Update SUSE-SU-2015:1208-1 https://www.suse.com/support/update/announcement/2015/suse-su-20151208-1.html
Patch:
Fedora Security Update FEDORA-2015-11656
https://admin.fedoraproject.org/updates/FEDORA-2015-11656/python-keystonemiddleware-1.3.2-1.fc22
Patch:
Red Hat Security Advisory RHSA-2015:1685
http://rhn.redhat.com/errata/RHSA-2015-1685.html
Patch:
SUSE Security Update SUSE-SU-2015:1434-1
https://www.suse.com/support/update/announcement/2015/suse-su-20151434-1.html
Patch:
Red Hat Security Advisory RHSA-2015:1677
http://rhn.redhat.com/errata/RHSA-2015-1677.html
Patch:
SUSE Security Update SUSE-SU-2015:1602-1
https://www.suse.com/support/update/announcement/2015/suse-su-20151602-1.html
CVE-2015-1852: Schwachstelle in OpenStack keystonemiddleware ermöglicht das
Ausspähen von Informationen
Eine Schwachstelle in der S3_token-Middleware in Openstack
keystonemiddleware und python-keystoneclient führt dazu, dass die
Überprüfung von Zertifikaten ausgeschaltet wird, wenn die Option “insecure”
in einer Paste-Konfiguration (paste.ini) gesetzt ist. Dies passiert
unabhängig von dem Wert der Option ‘insecure’. Es handelt sich hierbei um
eine andere Schwachstelle als CVE-2014-7144.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0640/
Schwachstelle CVE-2015-1852 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1852
SUSE Security Update SUSE-SU-2015:1208-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20151208-1.html
Fedora Security Update FEDORA-2015-11656:
https://admin.fedoraproject.org/updates/FEDORA-2015-11656/python-keystonemiddleware-1.3.2-1.fc22
Red Hat Security Advisory RHSA-2015:1685:
http://rhn.redhat.com/errata/RHSA-2015-1685.html
SUSE Security Update SUSE-SU-2015:1434-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20151434-1.html
Red Hat Security Advisory RHSA-2015:1677:
http://rhn.redhat.com/errata/RHSA-2015-1677.html
SUSE Security Update SUSE-SU-2015:1602-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20151602-1.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
