2020-0373: cloud-init: Zwei Schwachstellen ermöglichen das Ausspähen von Informationen

Historie:

Version 1 (2020-02-21 14:15): Neues Advisory
Version 2 (2020-03-04 18:17): Für SUSE Linux Enterprise Module for Public Cloud 15 und SUSE Linux Enterprise Module for Open Buildservice Development Tools 15 stehen Sicherheitsupdates für 'cloud-init' bereit, um die beiden Schwachstellen und einen weiteren, nicht sicherheitsrelevanten Fehler zu beheben.
Version 3 (2020-03-24 09:31): Für SUSE Linux Enterprise Module for Public Cloud und for Open Buildservice Development Tools jeweils in der Version 15 SP1 stehen Sicherheitsupdates zur Behebung der beiden referenzierten Schwachstellen und eines nicht sicherheitsrelevanten Fehlers zur Verfügung.
Version 4 (2020-03-30 10:09): Für openSUSE Leap 15.1 steht ein Sicherheitsupdate für 'cloud-init' zur Behebung der Schwachstellen zur Verfügung. Zusätzlich wird mit dem Sicherheitsupdate ein nicht sicherheitsrelevanter Fehler adressiert.
Version 5 (2020-03-31 16:27): Für SUSE Linux Enterprise Module for Public Cloud 12 und SUSE CaaS Platform 3.0 stehen Sicherheitsupdates bereit, mit denen die beiden Schwachstellen in 'cloud-init' behoben werden.
Version 6 (2020-11-05 11:45): Für Red Hat Enterprise Linux 8 (x86_64, aarch64) stehen Sicherheitsupdates zur Behebung der Schwachstellen in 'cloud-init' bereit. Diese Updates werden im Zusammenhang mit der Veröffentlichung von Red Hat Enterprise Linux 8.3 zur Verfügung gestellt.

Betroffene Software

Netzwerk

Betroffene Plattformen

Cloud
Linux

Beschreibung:

Ein lokaler Angreifer kann die Schwachstellen ausnutzen, um sensible Informationen in Form von Passworten zu ermitteln. Ein erfolgreicher Angriff erfordert die Interaktion eines Benutzers.

Debian veröffentlicht für Debian 8 Jessie (LTS) ein Sicherheitsupdate für cloud-init auf die Version 0.7.6~bzr976-2+deb8u1, um diese Schwachstellen über Backports zu beheben.

Schwachstellen:

CVE-2020-8631

Schwachstelle in cloud-init ermöglicht Ausspähen von Informationen

CVE-2020-8632