2020-2331: Pacemaker: Eine Schwachstelle ermöglicht u. a. das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2020-10-28 11:49)

Neues Advisory

Version 2 (2020-10-29 08:39)

Für SUSE Linux Enterprise High Availability 15 SP1 steht ein Sicherheitsupdate für 'pacemaker' bereit, um die Schwachstelle und drei weitere, nicht sicherheitsrelevante Fehler zu beheben. Die betroffene Software wird damit auf Version 2.0.4 aktualisiert.

Version 3 (2020-10-29 17:23)

Für SUSE Linux Enterprise High Availability 15 steht ein Sicherheitsupdate für 'pacemaker' bereit, um die Schwachstelle und drei weitere, nicht sicherheitsrelevante Fehler zu beheben.

Version 4 (2020-10-30 09:52)

SUSE veröffentlicht für die SUSE Linux Enterprise Produkte Software Development Kit 12 SP5 sowie High Availability 12 SP3, SP4 und SP5 Sicherheitsupdates für 'pacemaker' mit denen eine Schwachstelle und drei nicht sicherheitsrelevante Fehler behoben werden.

Version 5 (2020-11-02 09:17)

Für openSUSE Leap 15.2 steht ein Sicherheitsupdate für 'pacemaker' bereit, mit dem eine Schwachstelle und drei nicht sicherheitsrelevante Fehler behoben werden. Die betroffene Software wird damit auf Version 2.0.4 aktualisiert.

Version 6 (2020-11-03 11:08)

Für Fedora 32 und 33 stehen Sicherheitsupdates für 'pacemaker' in Form von 'pacemaker-2.0.5-0.5.rc2'-Paketen im Status 'testing' bereit, um die Schwachstelle zu beheben.

Version 7 (2020-11-04 09:11)

Für openSUSE Leap 15.1 steht ein Sicherheitsupdate für 'pacemaker' bereit, mit dem eine Schwachstelle und drei nicht sicherheitsrelevante Fehler behoben werden. Die betroffene Software wird damit auf Version 2.0.4 aktualisiert.

Version 8 (2020-11-12 08:41)

Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'pacemaker' in Version 1.1.16-1+deb9u1 zur Behebung der Schwachstelle bereit.

Version 9 (2020-11-13 17:19)

Für Debian 10 Buster (stable) steht ein Sicherheitsupdate für 'pacemaker' in Version 2.0.1-5+deb10u1 zur Behebung der Schwachstelle bereit.

Version 10 (2020-11-17 11:51)

Das Sicherheitsupdate aus Sicherheitshinweis DLA 2447-1 hat zu einer Regression geführt, die die Kommunikation zwischen der Corosync Cluster Engine und Pacemaker betrifft. Die Zugriffskontrolle verhindert IPC-Nachrichten zwischen Cluster-Knoten. Der Patch für die Schwachstelle CVE-2020-25654 wurde deshalb wieder ausgebaut. Bis eine bessere Lösung gefunden werden kann, ist Debian 9 Stretch (LTS) also wieder verwundbar.

Version 11 (2020-11-19 12:27)

Für Fedora 32 und 33 stehen neue Sicherheitsupdates für 'pacemaker' in Form von 'pacemaker-2.0.5-0.5.rc3'-Paketen im Status 'testing' bereit, um die Schwachstelle zu beheben. Die früheren Sicherheitsupdates FEDORA-2020-3ddc2644dd (Fedora 32, pacemaker-2.0.5-0.5.rc2.fc32) und FEDORA-2020-b92c5e140c (Fedora 33, pacemaker-2.0.5-0.5.rc2.fc33) wurden in den Status 'obsolete' überführt (Referenzen hier entfernt).

Version 12 (2020-12-15 16:26)

Für Red Hat Enterprise Linux 8.2 Extended Update Support stehen Sicherheitsupdates zur Behebung der Schwachstelle in 'pacemaker' zur Verfügung.

Version 13 (2020-12-18 12:40)

Für Red Hat Enterprise Linux High Availability 7 (x86_64), Red Hat Enterprise Linux Resilient Storage 7 (x86_64), Red Hat Enterprise Linux High Availability 8 (x86_64, aarch64), Red Hat Enterprise Linux Resilient Storage 8 (x86_64) und Red Hat Enterprise Linux 8 (x86_64, aarch64) stehen Sicherheitsupdates für 'pacemaker' zur Verfügung, um die Schwachstelle zu beheben.

Version 14 (2020-12-23 10:16)

Für Oracle Linux 8 (x86_64, aarch64) steht ein Sicherheitsupdate für 'pacemaker' zur Verfügung, um die Schwachstelle zu beheben.

Version 15 (2021-11-05 08:21)

Für Oracle Linux 7 (x86_64, aarch64) steht ein Sicherheitsupdate für 'pacemaker' zur Verfügung, um die Schwachstelle zu beheben.

Betroffene Software

Netzwerk
Systemsoftware

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Ein Angreifer mit erweiterten Rechten kann eine Schwachstelle aus der Ferne ausnutzen, um Sicherheitsvorkehrungen zu umgehen und beliebigen Programmcode mit 'root'-Rechten auszuführen.

Für SUSE Linux Enterprise High Availability 15 SP2 steht ein Sicherheitsupdate für 'pacemaker' bereit. Die betroffene Software wird damit auf Version 2.0.4 aktualisiert.

Schwachstellen:

CVE-2020-25654

Schwachstelle in Pacemaker ermöglicht u. a. Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.