2017-2297: Heketi: Zwei Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes mit den Rechten des Dienstes

Historie:

Version 1 (2017-12-19 15:56)

Neues Advisory

Version 2 (2017-12-20 10:50)

Für Fedora 27 steht ein Sicherheitsupdate für das Paket 'heketi' im Status 'testing' zur Behebung der beiden Schwachstellen bereit. Für Fedora 26 und Fedora EPEL 7 befindet sich das Paket derzeit noch im Status 'pending'. Alle Sicherheitsupdates aktualisieren die Software auf Version 5.0.1.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Eine Schwachstelle in Heketi ermöglicht einem entfernten, einfach authentifizierten Angreifer die Ausführung beliebigen Programmcodes mit den Rechten des Benutzers, der den Heketi Server ausführt. Eine weitere Schwachstelle ermöglicht einem lokalen, einfach authentifizierten Angreifer den Zugriff auf eine Konfigurationsdatei, die sensible Informationen enthält.

Red Hat weist darauf hin, dass die schwerwiegendere der beiden Schwachstellen wahrscheinlich von einem beliebigen Nutzer mit Zugriff auf die Heketi-API ausgenutzt werden kann, da die zur Einschränkung des Zugriffs auf die API notwendige Einstellung standardmäßig deaktiviert ist. Für Red Hat Gluster Storage 3.3 for Red Hat Enterprise Linux 7 steht ein Sicherheitsupdate zur Behebung der Schwachstellen in Heketi zur Verfügung.

Schwachstellen:

CVE-2017-15103

Schwachstelle in Heketi ermöglicht Ausführung beliebigen Programmcodes mit Rechten des Dienstes

CVE-2017-15104

Schwachstelle in Heketi ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.