2021-0078: Red Hat Ceph Storage: Mehrere Schwachstellen ermöglichen u. a. einen Server-Side-Request-Forgery-Angriff

Historie:

Version 1 (2021-01-13 15:50)

Neues Advisory

Betroffene Software

Netzwerk
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann zwei Schwachstellen lokal ausnutzen, um Informationen auszuspähen, Daten zu manipulieren und dadurch die Rechte eines Benutzers erlangen. Die erfolgreiche Ausnutzung einer der Schwachstelle kann Einfluss auf andere Komponenten betroffener Systeme haben. Mehrere weitere Schwachstellen können aus der Ferne ausgenutzt werden, um einen Server-Side-Request-Forgery (SSRF)-Angriff und verschiedene Denial-of-Service (DoS)-Angriffe durchzuführen. Zusätzlich kann ein Angreifer eine Schwachstelle im benachbarten Netzwerk ausnutzen, um Sicherheitsvorkehrungen zu umgehen. Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich.

Red Hat stellt Sicherheitsupdates für Red Hat Ceph Storage 4.2 für Red Hat Enterprise Linux 7 und 8 zur Verfügung, mit denen die Schwachstellen in den Komponenten Grafana und 'ceph-ansible' sowie in 'cpeh' selbst adressiert werden. Zusätzlich werden Schwachstellen in OpenSSL und GnuTLS aufgeführt.

Schwachstellen:

CVE-2020-13379

Schwachstelle in Grafana ermöglicht Server-Side-Request-Forgery-Angriff

CVE-2020-1971

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2020-24659

Schwachstelle in GnuTLS ermöglicht Denial-of-Service-Angriff

CVE-2020-25660

Schwachstelle in Ceph ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-25677

Schwachstelle in ceph-ansible ermöglicht Ausspähen von Informationen

CVE-2020-27781

Schwachstelle in Ceph ermöglicht u. a. Erlangen von Benutzerrechten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.