2017-1366: Open vSwitch: Mehrere Schwachstellen ermöglichen die Ausführung beliebigen Programmcodes und einen Denial-of-Service-Angriff

Historie:

Version 1 (2017-08-04 12:25)

Neues Advisory

Version 2 (2017-08-31 11:56)

Für die Red Hat OpenStack Platform 9.0 (Mitaka) steht ein Sicherheitsupdate für 'openvswitch' zur Verfügung, welches die aufgeführten Schwachstellen mit Ausnahme der CVE-2017-9264 behebt.

Version 3 (2017-09-07 10:03)

Für Red Hat OpenStack 6.0 (Juno) und 10.0 (Newton) stehen Sicherheitsupdates für 'openvswitch' zur Verfügung. OpenStack 6.0 ist von CVE-2017-9264 nicht betroffen.

Version 4 (2017-09-13 11:18)

Für Red Hat OpenStack 7.0 (Kilo) steht ein Sicherheitsupdate für 'openvswitch' bereit. Die Schwachstelle CVE-2017-9264 wird mittels des Updates nicht adressiert, da diese nicht in der in OpenStack 7.0 genutzten Open vSwitch Version existiert.

Version 5 (2017-09-14 11:24)

Red hat stellt für OpenStack 8.0 (Liberty) und OpenStack 11.0 (Ocata) Sicherheitsupdates in Form aktualisierter 'openvswitch' Pakete bereit. Die Schwachstelle CVE-2017-9264 ist für OpenStack 8.0 (Liberty) nicht relevant.

Version 6 (2017-10-11 18:14)

Canonical veröffentlicht für die Distributionen Ubuntu 16.04 LTS und Ubuntu 17.04 Sicherheitsupdates für Open vSwitch.

Betroffene Software

Systemsoftware
Virtualisierung

Betroffene Plattformen

Linux
Virtualisierung

Beschreibung:

Mehrere Schwachstellen in Open vSwitch ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes und einem einfach authentisierten Angreifer im benachbarten Netzwerk einen Denial-of-Service-Angriff.

Die Schwachstellen bestehen in verschiedenen Versionen von Open vSwitch bis inklusive Version 2.7.0. Red Hat stellt für Red Hat Virtualization 4 und Fast Datapath für Red Hat Enterprise Linux 7 Sicherheitsupdates bereit, mit denen die Software auf Version 2.7.2 aktualisiert wird.

Schwachstellen:

CVE-2017-9214

Schwachstelle in Open vSwitch ermöglicht u. a. Denial-of-Service-Angriff

CVE-2017-9263

Schwachstelle in Open vSwitch ermöglicht Denial-of-Service-Angriff

CVE-2017-9264

Schwachstelle in Open vSwitch ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-9265

Schwachstelle in Open vSwitch ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.