2019-2274: SUSE OpenStack Cloud: Mehrere Schwachstellen ermöglichen u. a. verschiedene Denial-of-Service-Angriffe

Historie:

Version 1 (2019-11-01 13:53)

Neues Advisory

Betroffene Software

Entwicklung
Netzwerk
Server
Sicherheit
Systemsoftware
Virtualisierung

Betroffene Plattformen

Netzwerk
Cloud
Linux

Beschreibung:

Aufgrund mehrere Schwachstellen in den von SUSE OpenStackCloud verwendeten Komponenten RubyGem REST-Client, PySAML2, Grafana, python-engineio, Oracle MySQL Server / MariaDB und Nokogiri ist es einem meist entfernten, nicht authentisierten Angreifer möglich verschiedene Denial-of-Service (DoS)-Angriffe durchzuführen (Grafana, Oracle MySQL Server / MariaDB), Informationen auszuspähen (RubyGem REST-Client, PySAML2, Grafana), beliebigen Programmcode zur Ausführung zu bringen (Nokogiri), Cross-Site-WebSocket-Hijacking-Angriffe durchzuführen (python-engineio), Sicherheitsvorkehrungen zur umgehen (Grafana) und möglicherweise weitere, nicht näher spezifizierte Angriffe durchzuführen (PySAML2).

Für SUSE OpenStack Cloud 8 und Crowbar 8 stehen Sicherheitsupdates zur Behebung der elf Schwachstellen und zehn weiteren nicht sicherheitsrelevanten Fehler zur Verfügung. SUSE informiert darüber, dass CVE-2018-558213 mit diesem Update behoben sei; diese Schwachstelle ist als 'rejected' gelistet.

Schwachstellen:

CVE-2015-3448

Schwachstelle in RubyGem REST-Client ermöglicht Ausspähen von Informationen

CVE-2016-10127

Schwachstelle in PySAML2 ermöglicht u.a. Ausspähen von Informationen

CVE-2018-15727

Schwachstelle in Grafana ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-19039

Schwachstelle in Grafana ermöglicht Ausspähen von Informationen

CVE-2019-13611

Schwachstelle in python-engineio ermöglicht Cross-Site-WebSocket-Hijacking

CVE-2019-15043

Schwachstelle in Grafana ermöglicht Denial-of-Service-Angriff

CVE-2019-2614

Schwachstelle in Oracle MySQL Server / MariaDB ermöglicht Denial-of-Service-Angriff

CVE-2019-2627

Schwachstelle in Oracle MySQL Server / MariaDB ermöglicht Denial-of-Service-Angriff

CVE-2019-2628

Schwachstelle in Oracle MySQL Server / MariaDB ermöglicht Denial-of-Service-Angriff

CVE-2019-5477

Schwachstelle in Nokogiri ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.