2020-2502: SUSE OpenStack Cloud 8, SUSE OpenStack Cloud Crowbar 8: Mehrere Schwachstellen ermöglichen u. a. das Erlangen von Benutzerrechten

Historie:

Version 1 (2020-11-13 17:30)

Neues Advisory

Betroffene Software

Netzwerk
Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Benutzerrechte zu erlangen, Administratorrechte zu erlangen, Informationen auszuspähen, Privilegien zu eskalieren, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode, teilweise mit Rechten des betroffenen Dienstes, auszuführen, verschiedene Cross-Site-Scripting (XSS)- und Denial-of-Service (DoS)-Angriffe durchzuführen und falsche Informationen darzustellen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Dateien zu manipulieren, weitere Informationen auszuspähen, Privilegien zu eskalieren und beliebigen Programmcode auszuführen. Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.

SUSE stellt für SUSE OpenStack Cloud 8 und SUSE OpenStack Cloud Crowbar 8 Sicherheitsupdates zur Behebung der Schwachstellen bereit.

Es werden die Pakete 'ansible', 'ardana-ansible', 'ardana-cinder', 'ardana-glance', 'ardana-mq', 'ardana-nova', 'ardana-osconfig', 'crowbar-core', 'crowbar-openstack', 'documentation-suse-openstack-cloud', 'grafana', 'grafana-natel-discrete-panel', 'openstack-cinder', 'openstack-monasca-installer', 'openstack-neutron', 'openstack-nova', 'python-ardana-packager', 'python-Django', 'python-Flask-Cors', 'python-keystoneclient', 'python-keystonemiddleware', 'python-kombu', 'python-Pillow', 'python-straight-plugin', 'python-urllib3', 'release-notes-suse-openstack-cloud', 'storm', 'storm-kit', 'venv-openstack-cinder' und 'venv-openstack-swift' aktualisiert.

Schwachstellen:

CVE-2016-8614

Schwachstelle in Ansible ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2016-8628

Schwachstelle in Ansible ermöglicht Ausführen beliebigen Programmcodes mit den Rechten des Dienstes

CVE-2016-8647

Schwachstelle in Ansible Modul ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2016-9587

Schwachstelle in Ansible ermöglicht Ausführung beliebigen Programmcodes mit den Rechten des Dienstes

CVE-2017-7466

Schwachstelle in Ansible ermöglicht Ausführung beliebigen Programmcodes mit den Rechten des Dienstes

CVE-2018-10855

Schwachstelle in Ansible ermöglicht Ausspähen von Informationen

CVE-2018-10874

Schwachstelle in Ansible ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-10875

Schwachstelle in Ansible ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-11779

Schwachstelle in Apache Storm ermöglicht Ausführen beliebigen Programmcodes

CVE-2018-16837

Schwachstelle in Ansible ermöglicht Ausspähen von Informationen

CVE-2018-16859

Schwachstelle in Ansible ermöglicht Ausspähen von Informationen

CVE-2018-16876

Schwachstelle in Ansible ermöglicht Ausspähen von Informationen

CVE-2018-17954

Schwachstelle in Crowbar ermöglicht Erlangen von Administratorrechten

CVE-2018-18623

Schwachstelle in Grafana ermöglicht Cross-Site-Scripting-Angriff

CVE-2018-18624

Schwachstelle in Grafana ermöglicht Cross-Site-Scripting-Angriff

CVE-2018-18625

Schwachstelle in Grafana ermöglicht Cross-Site-Scripting-Angriff

CVE-2019-0202

Schwachstelle in Apache Storm ermöglicht Ausspähen von Informationen

CVE-2019-10156

Schwachstelle in Ansible ermöglicht u. a. Ausspähen von Informationen

CVE-2019-14846

Schwachstelle in Ansible ermäglicht Ausspähen von Informationen

CVE-2019-14856

Schwachstelle in Ansible ermöglicht Ausspähen von Informationen

CVE-2019-14858

Schwachstelle in Ansible ermöglicht Ausspähen von Informationen

CVE-2019-14864

Schwachstelle in Ansbile ermöglicht Ausspähen von Informationen

CVE-2019-14904

Schwachstelle in Ansible ermöglicht Ausführen beliebiger Befehle

CVE-2019-14905

Schwachstelle in Ansible ermöglicht Ausführen beliebiger Befehle

CVE-2019-15043

Schwachstelle in Grafana ermöglicht Denial-of-Service-Angriff

CVE-2019-19844

Schwachstelle in Django ermöglicht Erlangen von Benutzerrechten

CVE-2019-3828

Schwachstelle in Ansible ermöglicht u. a. Manipulation von Dateien

CVE-2019-9740

Schwachstelle in Python ermöglicht CRLF-Injektion

CVE-2020-10177

Schwachstelle in Python Pillow ermöglicht Ausspähen von Informationen

CVE-2020-10378

Schwachstelle in Python Pillow ermöglicht Ausspähen von Informationen

CVE-2020-10684

Schwachstelle in Ansible ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2020-10685

Schwachstelle in Ansible ermöglicht Ausspähen von Informationen

CVE-2020-10691

Schwachstelle in Ansible ermöglicht Directory-Traversal-Angriff

CVE-2020-10729

Schwachstelle in Ansible ermöglicht Ausspähen von Informationen

CVE-2020-10744

Schwachstelle in Ansible ermöglicht Privilegieneskalation

CVE-2020-10994

Schwachstelle in Python Pillow ermöglicht Ausspähen von Informationen

CVE-2020-11110

Schwachstelle in Grafana ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-12052

Schwachstelle in Grafana ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-13254

Schwachstelle in Django ermöglicht Ausspähen von Informationen

CVE-2020-13379

Schwachstelle in Grafana ermöglicht Server-Side-Request-Forgery-Angriff

CVE-2020-13596

Schwachstelle in Django ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-14330

Schwachstelle in Ansible ermöglicht Ausspähen von Informationen

CVE-2020-14332

Schwachstelle in Ansible ermöglicht Ausspähen von Informationen

CVE-2020-14365

Schwachstelle in Ansible ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-15169

Schwachstelle in rubygem-actionview ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-1733

Schwachstelle in Ansible ermöglicht Privilegieneskalation

CVE-2020-1734

Schwachstelle in Ansible ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-1735

Schwachstelle in Ansible ermöglicht Directory-Traversal-Angriff

CVE-2020-1736

Schwachstelle in Ansible ermöglicht Ausspähen von Informationen

CVE-2020-1737

Schwachstelle in Ansible ermöglicht Directory-Traversal-Angriff

CVE-2020-17376

Schwachstelle in OpenStack Nova ermöglicht Privilegieneskalation

CVE-2020-1738

Schwachstelle in Ansible ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-1739

Schwachstelle in Ansible ermöglicht Ausspähen von Informationen

CVE-2020-1740

Schwachstelle in Ansible ermöglicht Ausspähen von Informationen

CVE-2020-1746

Schwachstelle in Ansible ermöglicht Ausspähen von Informationen

CVE-2020-1753

Schwachstelle in Ansible ermöglicht Ausspähen von Informationen

CVE-2020-25032

Schwachstelle in Flask-CORS ermöglicht Directory-Traversal-Angriff

CVE-2020-26137

Schwachstelle in python-urllib3 ermöglicht Darstellen falscher Informationen

CVE-2020-7471

Schwachstelle in Django ermöglicht SQL-Injektion

CVE-2020-9402

Schwachstelle in Django ermöglicht SQL-Injektion

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.