Debians sikkerhedsbulletin

DSA-2737-1 swift -- flere sårbarheder

Rapporteret den:
12. aug 2013
Berørte pakker:
swift
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2013-2161, CVE-2013-4155.
Yderligere oplysninger:

Flere sårbarheder blev opdaget i Swift, Openstacks objektopbevaring. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2013-2161

    Alex Gaynor fra Rackspace rapporterede om en sårbarhed i XML-håndteringen i Swift-kontoservere. Kontostrenge blev unescaped i xml-lister, og en angriber kunne potentielt generere ufortolkbare eller vilkårlige XML-svar, der måske kunne anvendes som en løftestang til andre sårbarheder i den kaldende software.

  • CVE-2013-4155

    Peter Portante fra Red Hat, rapporterede om en sårbarhed i Swift. Ved at udsende forespørgsler med en gammel X-Timestamp-værdi, kunne en autentificeret angriber fylde en objektserver med overflødige objektgravsten, hvilket i afgørende grad sløve efterfølgende forespørgsler til den pågældende server ned, dermed udførende et lammelsesangreb (denial of service) mod Swift-klynger.

I den stabile distribution (wheezy), er disse problemer rettet i version 1.4.8-2+deb7u1.

I den ustabile distribution (sid), er disse problemer rettet i version 1.8.0-6.

Vi anbefaler at du opgraderer dine swift-pakker.