2022-2121: SUSE Openstack Cloud: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2022-09-23 13:33): Neues Advisory

Betroffene Software

Entwicklung
Netzwerk
Server
Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
Linux

Beschreibung:

Ein Angreifer kann eine Schwachstelle lokal ausnutzen, um beliebigen Programmcode auszuführen.Ein Angreifer kann mehrere weitere Schwachstellen aus der Ferne ausnutzen, um Sicherheitsvorkehrungen zu umgehen sowie HTTP-Request-Smuggling-, SQL-Injection- und Denial-of-Service (DoS)-Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.

SUSE stellt für SUSE OpenStack Cloud 8 und 9 sowie SUSE OpenStack Cloud Crowbar 8 und 9 Sicherheitsupdates zur Behebung der Schwachstellen bereit.

Es werden die Pakete 'ardana-ansible', 'ardana-cobbler', 'grafana', 'openstack-heat-templates', 'openstack-murano', 'python-Django', 'rabbitmq-server', 'rubygem-puma', 'ardana-tempest', 'openstack-horizon-plugin-gbp-ui', 'openstack-neutron-gbp', 'openstack-nova', 'python-Django1', 'rabbitmq-server,' aktualisiert.

Schwachstellen:

CVE-2019-11287

Schwachstelle in RabbitMQ ermöglicht Denial-of-Service-Angriff

CVE-2020-1734

Schwachstelle in Ansible ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-39226

Schwachstelle in Grafana ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-44716

Schwachstelle in Go ermöglicht Denial-of-Service-Angriff

CVE-2022-24790

Schwachstelle in Puma ermöglicht HTTP-Request-Smuggling-Angriff

CVE-2022-28346

Schwachstelle in Django ermöglicht SQL-Injection-Angriff

CVE-2022-34265