2021-1044: Ceph: Mehrere Schwachstellen ermöglichen u. a. einen Denial-of-Service-Angriff

Historie:

Version 1 (2021-05-17 16:33)

Neues Advisory

Version 2 (2021-06-03 09:31)

Für SUSE Manager Server, Retail Branch Server und Proxy jeweils in Version 4.0, SUSE MicroOS 5.0, SUSE Linux Enterprise Server for SAP 15 SP1, SUSE Linux Enterprise Server 15 SP1 BCL / LTSS, SUSE Linux Enterprise High Performance Computing 15 SP1 ESPOS / LTSS, SUSE Linux Enterprise Module for Basesystem 15 SP2 und 15 SP3, SUSE Enterprise Storage 6 und 7 sowie SUSE CaaS Platform 4.0 stehen Sicherheitsupdates für 'ceph' auf Version 15.2.12-83-g528da226523 bereit, um die Schwachstellen zu beheben.

Version 3 (2021-06-04 09:43)

Für openSUSE Leap 15.2 steht ein Sicherheitsupdate für 'ceph' auf Version 15.2.12-83-g528da226523 bereit, um die Schwachstellen zu beheben.

Version 4 (2021-07-14 16:19)

Das Update für 'ceph' auf Version 15.2.12-83-g528da226523 steht jetzt auch für openSUSE Leap 15.3 bereit.

Betroffene Software

Netzwerk
Systemsoftware

Betroffene Plattformen

Cloud
Linux
Container

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, einen Cross-Site-Scripting (XSS)-Angriff sowie einen Denial-of-Service (DoS)-Angriff durchzuführen. Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Zwei Schwachstellen erfordern die Interaktion eines Benutzers.

Der Hersteller stellt Ceph 14.2.21, 15.2.12 und 16.2.4 als Sicherheitsupdates zur Verfügung.

Für Fedora 32, 33 und 34 stehen Sicherheitsupdates in Form der Pakete 'ceph-14.2.21-1.fc32', 'ceph-15.2.12-1.fc33' und 'ceph-16.2.4-1.fc34' im Status 'testing' zur Behebung der Schwachstellen bereit. Die Schwachstelle CVE-2021-3509 wird hier nicht genannt, wird aber wahrscheinlich auch behoben.

Schwachstellen:

CVE-2021-3509

Schwachstelle in Ceph ermöglicht Cross-Site-Scripting-Angriff

CVE-2021-3524

Schwachstelle in Ceph ermöglicht CRLF-Injektion

CVE-2021-3531

Schwachstelle in Ceph ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.