UPDATE: DFN-CERT-2015-1355 OpenStack Horizon: Zwei Schwachstellen ermöglichen Cross-Site-Scripting [Linux][RedHat][SuSE]

UPDATE: DFN-CERT-2015-1355 OpenStack Horizon: Zwei Schwachstellen ermöglichen Cross-Site-Scripting [Linux][RedHat][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (23.11.2015):
Für SUSE OpenStack Cloud 5 stehen Sicherheitsupdates bereit.
Version 1 (02.09.2015):
Neues Advisory

Betroffene Software:

OpenStack Horizon <= 2015.1.0 Betroffene Plattformen: Red Hat Enterprise Linux OpenStack 6 SUSE Cloud 5 Openstack Ein entfernter, authentifizierter als auch nicht authentifizierter Angreifer kann durch Ausnutzen der Schwachstellen beliebigen Script-Code oder HTML auf dem betroffenen System einschleusen und dadurch einen Cross-Site-Scripting-Angriff durchführen. Red Hat stellt für RHEL 6.0 ein Backport-Sicherheitsupdate auf die Paketversion 2014.2.3-7 zur Verfügung, um diese Schwachstellen zu schließen. Patch: Red Hat Security Advisory RHSA-2015:1679 http://rhn.redhat.com/errata/RHSA-2015-1679.html

Patch:

SUSE Security Update SUSE-SU-2015:2064-1

https://www.suse.com/support/update/announcement/2015/suse-su-20152064-1.html

CVE-2015-3988: Mehrere Schwachstellen in Horizon ermöglichen
Cross-Site-Scripting

Im Dashboard von OpenStack (Horizon) bestehen mehrere nicht näher
beschriebene Schwachstellen. Einem Angreifer ist es durch das Verändern von
Metadaten von Glance Images, Nova Flavors (Konfigurationsdatei für
verfügbare Hardware) oder Host Aggregates möglich, beliebigen Script-Code
oder HTML einzuschleusen.
Ein entfernter, einfach authentifizierter Angreifer kann durch das Ausnutzen
der Schwachstelle einen Cross-Site-Scripting-Angriff durchführen.

CVE-2015-3219: Schwachstelle in Horizon ermöglicht Cross-Site-Scripting

Im Dashboard von OpenStack (Horizon) besteht eine
Cross-Site-Scripting-Schwachstelle aufgrund nicht ordnungsgemäßer Behandlung
von Parametern. Durch das Manipulieren und Verschicken von heat templates
ist es einem Angreifer möglich, beliebigen Script-Code oder HTML auf dem
betroffenen System einzuschleusen.
Ein entfernter, nicht authentifizierter Angreifer kann durch Ausnutzen der
Schwachstelle einen Cross-Site-Scripting-Angriff durchführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1355/

Schwachstelle CVE-2015-3988 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3988

Red Hat Security Advisory RHSA-2015:1679:
http://rhn.redhat.com/errata/RHSA-2015-1679.html

Schwachstelle CVE-2015-3219 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3219

SUSE Security Update SUSE-SU-2015:2064-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20152064-1.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben