DFN-CERT Portal

Schwachstellen

DFN-CERT-2017-2150: Red Hat OpenShift: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen

Historie

Version 1 (2017-11-29 15:52)
Neues Advisory
Version 2 (2017-12-07 11:39)
Red Hat stellt nun auch Sicherheitsupdates für die Red Hat OpenShift Container Platform in den Versionen 3.4, 3.5 und 3.6 bereit, um diese Schwachstelle zu beheben.

Betroffene Software

Red Hat OpenShift Container Platform 3.4
Red Hat OpenShift Container Platform 3.5
Red Hat OpenShift Container Platform 3.6
Red Hat OpenShift < Container Platform 3.7

Betroffene Plattformen

Red Hat OpenShift

Lösung

Patch

Red Hat Security Advisory RHSA-2017:3188

Patch

Red Hat Security Advisory RHSA-2017:3389

Beschreibung

Eine Schwachstelle in Red Hat OpenShift ermöglicht einem entfernten, nicht authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen und möglicherweise das Ausspähen von Informationen. Voraussetzung ist die Kenntnis eines gültigen Benutzernamens.

Red Hat stellt die Version 3.7 für Red Hat OpenShift in Form von RPM-Paketen zur Verfügung, um die Schwachstelle zu beheben.

Schwachstellen

CVE-2017-12195: Schwachstelle in Red Hat OpenShift ermöglicht Umgehen von Sicherheitsvorkehrungen

In OpenShift mit konfiguriertem 'Elasticsearch', das über eine externe Route erreichbar ist, existiert eine Schwachstelle aufgrund einer fehlerhaften Authentifizierung. Ein Angreifer, der über die Kenntnis eines existierenden Benutzernamens verfügt, kann die Schwachstelle ausnutzen, um zu einem späteren Zeitpunkt ohne Authentifizierungs-Token Elasticsearch zu nutzen. Bei dem Angriff kann nur auf die Indizes der Elasticsearch-Daten zugegriffen werden.

Referenzen

© DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf des schriftlichen Einverständnisses des Rechteinhabers.