2023-1373: SUSE Manager, SUSE Manager Client Tools, Salt, Tornado: Eine Schwachstelle ermöglicht das Darstellen falscher Informationen

Historie:

Version 1 (2023-06-14 11:01)

Neues Advisory

Version 2 (2023-07-04 13:56)

Für SUSE Linux Enterprise High Performance Computing 12 SP3, SUSE Linux Enterprise Server 12 SP3, SUSE OpenStack Cloud 8 und SUSE OpenStack Cloud Crowbar 8 stehen Sicherheitsupdates für 'python-tornado' bereit, um die Schwachstelle zu beheben.

Version 3 (2023-07-12 10:05)

Für SUSE Linux Enterprise Server 12 SP4 sowie SUSE OpenStack Cloud 9 und Cloud Crowbar 9 stehen Sicherheitsupdates für 'python-tornado' zur Verfügung, um die referenzierte Schwachstelle zu beheben.

Version 4 (2023-08-02 17:05)

SUSE veröffentlicht für 'salt', 'SUSE Manager Salt Bundle' und 'SUSE Manager Client Tools' für eine Vielzahl von Plattformen Sicherheitsupdates, um die referenzierte Schwachstelle zu beheben. Diese Schwachstelle wird dabei abweichend von der NVD-Einstufung von SUSE als schwer auszunutzend (Access Complexity (AC) = high) und ohne Auswirkung auf die Vertraulichkeit (Confidentiality (C) = none) bewertet. Die in dieser Meldung verwendete Einstufung von Red Hat sieht ebenfalls 'nur' die Integrität beeinträchtigt. Für SUSE Manager Client Tools for Debian 10 stehen Sicherheitsupdates für 'SUSE Manager Client Tools' und 'SUSE Manager Salt Bundle' und für SUSE Manager Client Tools for Debian 11 steht ein Update für 'SUSE Manager Salt Bundle' bereit. Für SUSE Manager Client Tools for RHEL, Liberty and Clones 9 ist ein Sicherheitsupdate für 'SUSE Manager Salt Bundle' verfügbar. Für SUSE Manager Client Tools for Ubuntu 18.04 stehen Sicherheitsupdates für 'SUSE Manager Client Tools' und 'SUSE Manager Salt Bundle' zur Verfügung. Für SUSE Manager Client Tools for Ubuntu 20.04 und for Ubuntu 22.04 werden Sicherheitsupdates für 'SUSE Manager Salt Bundle' veröffentlicht. SUSE stellt Sicherheitsupdate für 'salt' für SUSE CaaS Platform 4.0, SUSE Enterprise Storage 7 und 7.1, Basesystem Module 15 SP4 und 15 SP5, openSUSE Leap 15.4 und 15.5, openSUSE Leap Micro 5.3 und 5.4, Server Applications Module 15 SP4 und 15 SP5 und die SUSE Linux Enterprise Produkte High Performance Computing 15 SP1, 15 SP1 LTSS, 15 SP2, 15 SP2 LTSS, 15 SP3, 15 SP3 ESPOS, 15 SP3 LTSS, 15 SP4 und 15 SP5, Server 15 SP1, 15 SP1 LTSS, 15 SP2,15 SP2 LTSS, 15 SP3, 15 SP3 LTSS, 15 SP4 und 15 SP5, Server for SAP Applications 15 SP1, 15 SP2, 15 SP3, 15 SP4 und 15 SP5, Desktop 15 SP4 und 15 SP5, Micro 5.1, 5.2, 5.3, 5.4, for Rancher 5.2, for Rancher 5.3 und for Rancher 5.4, Real Time 15 SP3, 15 SP4 und 15 SP5, SUSE Manager Proxy 4.2 und 4.3, Retail Branch Server 4.2 und 4.3 und Server 4.2 und 4.3 sowie Transactional Server Module 15 SP4 und 15 SP5 bereit. Sicherheitsupdates für 'SUSE Manager Salt Bundle' stehen für openSUSE Leap 15.4 und 15.5, die SUSE Linux Enterprise Produkte Desktop 12, 12 SP1, 12 SP2, 12 SP3, 12 SP4, 15, 15 SP1, 15 SP2, 15 SP3, 15 SP4 und 15 SP5, High Performance Computing 12 SP2, 12 SP3, 12 SP4, 12 SP5, 15, 15 SP1, 15 SP2, 15 SP3, 15 SP4 und 15 SP5, Micro 5.0, 5.1, 5.2, 5.3 und 5.4, Real Time 15 SP1, 15 SP2, 15 SP3, 15 SP4 und 15 SP5, Server 12, 12 SP1, 12 SP2, 12 SP3, 12 SP4, 12 SP5, 15, 15 SP1, 15 SP2, 15 SP3, 15 SP4 und 15 SP5, Server for SAP Applications 12, 12 SP1, 12 SP2, 12 SP3, 12 SP4, 12 SP5, 15, 15 SP1, 15 SP2, 15 SP3, 15 SP4 und 15 SP5, Server for the Raspberry Pi 12 SP2, SUSE Manager Client Tools for SLE 12, 15 und Micro 5, SUSE Manager Proxy 4.3, Retail Branch Server 4.3 und Server 4.3 zur Verfügung. Die Sicherheitsupdates für 'SUSE Manager Client Tools' zur Behebung der Schwachstelle sind für die Produkte Advanced Systems Management Module 12, SUSE Manager Client Tools for SLE 12, 15 und Micro 5, Basesystem Module 15 SP4 und 15 SP5, openSUSE Leap 15.4 und 15.5, openSUSE Leap Micro 5.3 und 5.4, SUSE CaaS Platform 4.0, SUSE Enterprise Storage 7 und 7.1, SUSE Manager Proxy 4.2 und 4.3, Retail Branch Server 4.2 und 4.3, Server 4.2 und 4.3, die SUSE Linux Enterprise Produkte Desktop 12, 12 SP1, 12 SP2, 12 SP3, 12 SP4, 15, 15 SP1, 15 SP2, 15 SP3, 15 SP4 und 15 SP5, Mirco 5.0, 5.1, 5.2, 5.3, 5.4, for Rancher 5.2, for Rancher 5.3 und for Rancher 5.4, Real Time 15 SP1,15 SP2, 15 SP3, 15 SP4 und 15 SP5, High Performance Computing 12 SP2, 12 SP3, 12 SP4, 12 SP5, 15, 15 SP1, 15 SP1 LTSS, 15 SP2, 15 SP2 LTSS, 15 SP3, 15 SP3 LTSS, 15 SP3 ESPOS, 15 SP4 und 15 SP5, Server 12, 12 SP1, 12 SP2, 12 SP3, 12 SP4, 12 SP5, 15, 15 SP1, 15 SP1 LTSS, 15 SP2, 15 SP2 LTSS, 15 SP3, 15 SP3 LTSS, 15 SP4 und 15 SP5, Server for SAP Applications 12, 12 SP1, 12 SP2, 12 SP3, 12 SP4, 12 SP5, 15, 15 SP1, 15 SP2, 15 SP3, 15 SP4 und 15 SP5 sowie Server for the Raspberry Pi 12 SP2 verfügbar.

Version 5 (2023-08-02 19:34)

Für SUSE Manager Client Tools for Ubuntu 20.04 steht ein Sicherheitsupdate für 'SUSE Manager Client Tools' zur Verfügung.

Version 6 (2023-11-08 08:01)

Für Red Hat Enterprise Linux for x86_64 / ARM 64 9 (x86_64, aarch64) stehen Sicherheitsupdates für 'python-tornado' bereit, um die Schwachstelle zu beheben. Die Sicherheitsupdates werden im Kontext des Red Hat Enterprise Linux 9.3 Releases veröffentlicht.

Betroffene Software

Netzwerk
Server
Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
Linux
Container

Beschreibung:

Ein Angreifer kann eine Schwachstelle aus der Ferne ausnutzen, um einen Open-Redirect-Angriff durchzuführen.

Für die Ausnutzung der Schwachstelle sind keine Privilegien erforderlich. Die Schwachstelle erfordert die Interaktion eines Benutzers und deren erfolgreiche Ausnutzung kann Einfluss auf andere Komponenten haben.

Für Ubuntu 23.04 und Ubuntu 16.04 ESM stehen Sicherheitsupdates für 'python-tornado' bereit, um die Schwachstelle zu adressieren.

Schwachstellen:

CVE-2023-28370

Schwachstelle in Tornado ermöglicht Open-Redirect-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.