DFN-CERT-2016-1137 Red Hat OpenShift, Kubernetes: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][RedHat]

DFN-CERT portal at dfn-cert.de
Fri Jul 15 14:00:02 CEST 2016


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

  Red Hat OpenShift  3.2 Enterprise
  

Betroffene Plattformen:

  Red Hat OpenShift 
  


Ein entfernter, einfach authentisierter Angreifer kann diese Schwachstelle
ausnutzen, um Informationen auszuspähen, auf die er keinen Zugriff haben
sollte.

Für Red Hat OpenShift Enterprise 3.2 steht ein Sicherheitsupdate zur
Behebung der Schwachstelle zur Verfügung.


Patch:

  Red Hat Security Advisory RHSA-2016:1427

  <https://access.redhat.com/errata/RHSA-2016:1427>


CVE-2016-5392: Schwachstelle in Kubernetes ermöglicht Ausspähen von
  Informationen

  Der Kubernetes API Server enthält einen Beobachtungszwischenspeicher
  (Watch-Cache) zwecks Leistungsbeschleunigung. Aufgrund eines Fehlers bei der
  Eingabeüberprüfung kann es vorkommen, dass Red Hat OpenShift Enterprise auf
  die Anfrage eines Benutzers die Daten für andere Benutzer und Projekte
  zurückgibt. Ein Benutzer, als Angreifer, welcher über Kenntnis anderer
  Projektnamen verfügt, kann diese Schwachstelle ausnutzen, um deren
  Informationen auszuspähen.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2016-1137/>

Red Hat Security Advisory RHSA-2016:1427:
  <https://access.redhat.com/errata/RHSA-2016:1427>

Schwachstelle CVE-2016-5392 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5392>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 4686 bytes
Desc: not available
URL: <https://lists.cert.uni-stuttgart.de/pipermail/security-announce/attachments/20160715/995e20ad/attachment.bin>


More information about the Security-Announce mailing list