2017-1794: Ceph: Mehrere Schwachstellen ermöglichen das Ausspähen von Informationen und Denial-of-Service-Angriffe

Historie:

Version 1 (2017-10-11 19:04)

Neues Advisory

Betroffene Software

Netzwerk
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Ein entfernter, nicht oder auch einfach authentisierter Angreifer kann durch Versendung bösartig präparierter Cross-Origin-HTTP-Anfragen bzw. mit Hilfe speziell präparierter POST-Objekte, die er an das Ceph Rados Gateway sendet, verschiedene Denial-of-Service (DoS)-Angriffe durchführen. Ein einfach authentifizierter Angreifer im benachbarten Netzwerk kann den Ceph-Monitor-Prozess zum Absturz bringen (Denial-of-Service, DoS), dadurch die Integrität der gesamten Gerätegruppe gefährden und möglicherweise weitere Angriffe durchführen, sowie als anonymer Angreifer (Anonymous S3 User) die Inhalte eines Buckets ausspähen, für den mit der Option 'authenticated_users=read' eine Zugangskontrolliste aktiviert wurde.

Canonical stellt für Ubuntu 14.04 LTS ein Sicherheitsupdate für Ceph bereit, um diese Schwachstellen zu beheben.

Schwachstellen:

CVE-2016-5009

Schwachstelle in Red Hat Ceph Storage ermöglicht Denial-of-Service-Angriff

CVE-2016-7031

Schwachstelle in Red Hat Ceph Storage ermöglicht Ausspähen von Informationen

CVE-2016-8626

Schwachstelle in Red Hat Ceph Storage ermöglicht Denial-of-Service-Angriff

CVE-2016-9579

Schwachstelle in Red Hat Ceph Storage ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.