DFN-CERT

Advisory-Archiv

2021-1622: SUSE OpenStack Cloud: Mehrere Schwachstellen ermöglichen u. a. einen Denial-of-Service-Angriff

Historie:

Version 1 (2021-07-29 14:28)
Neues Advisory

Betroffene Software

Netzwerk
Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
Linux

Beschreibung:

Ein Angreifer, der in mehreren Fällen über niedrige Privilegien verfügen muss, kann mehrere Schwachstellen aus der Ferne ausnutzen, um Denial-of-Service (DoS)-Angriffe durchzuführen, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, Dateien zu manipulieren und XML-External-Entity (XXE)- und Server-Side-Request-Forgery (SSRF)-Angriffe durchzuführen. Ein Angreifer mit niedrigen Privilegien kann eine Schwachstelle im benachbarten Netzwerk ausnutzen, um beliebigen Programmcode auszuführen. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.

Für SUSE OpenStack Cloud 8 sowie SUSE OpenStack Cloud Crowbar 8 stehen Sicherheitsupdates für 'ardana-cobbler', 'cassandra', 'cassandra-kit', 'crowbar-core', 'crowbar-openstack', 'documentation-suse-openstack-cloud', 'grafana', 'kibana', 'openstack-heat-templates', 'openstack-monasca-installer', 'openstack-nova', 'python-Django', 'python-elementpath', 'python-eventlet', 'python-py', 'python-pysaml2', 'python-six' und 'python-xmlschema' zur Behebung der Schwachstellen zur Verfügung.

Schwachstellen:

CVE-2017-11481

Schwachstelle in Kibana ermöglicht Cross-Site-Scripting-Angriff

CVE-2017-11499

Schwachstelle in Node.js ermöglicht Denial-of-Service-Angriff

CVE-2017-5929

Schwachstelle in Logback ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-16782

Schwachstelle in rubygem-rack ermöglicht u. a. Ausspähen von Informationen

CVE-2019-25025

Schwachstelle in Ruby on Rails ermöglicht Ausspähen von Informationen

CVE-2020-17516

Schwachstelle in Apache Cassandra ermöglicht Ausspähen von Informationen

CVE-2020-26247

Schwachstelle in Nokogiri ermöglicht u. a. XML-External-Entity-Angriff

CVE-2020-29651

Schwachstelle in py (python-py) ermöglicht Denial-of-Service-Angriff

CVE-2021-21238

Schwachstelle in PySAML2 ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-21239

Schwachstelle in Python PySAML2 ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-21419

Schwachstelle in Eventlet ermöglicht Denial-of-Service-Angriff

CVE-2021-23336

Schwachstelle in Python ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-27358

Schwachstelle in Grafana ermöglicht Denial-of-Service-Angriff

CVE-2021-28658

Schwachstelle in Django ermöglicht Directory-Traversal-Angriff

CVE-2021-31542

Schwachstelle in Django ermöglicht Directory-Traversal-Angriff

CVE-2021-33203

Schwachstelle in Django ermöglicht Ausspähen von Informationen

CVE-2021-33571

Schwachstelle in Django ermöglicht u. a. Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.