Säkerhetsbulletin från Debian

DSA-2737-1 swift -- flera sårbarheter

Rapporterat den:
2013-08-12
Berörda paket:
swift
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2013-2161, CVE-2013-4155.
Ytterligare information:

Flera sårbarheter har upptäckts i Swift, objektlagringen i Openstack. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2013-2161

    Alex Gaynoor från Rackspace rapporterade en sårbarhet i XML-hanteringen i Swifts kontoservrar. Kontosträngar avslutades inte korrekt i XML-listor, och en angripare kunde potentiellt generera otolkningsbara eller skadliga XML-svar vilket kunde användas till att utlösa andra sårbarheter i den anropande mjukvaran.

  • CVE-2013-4155

    Peter Portante från Red Hat rapporterade en sårbarhet i Swift. Genem att skicka förfrågningar med ett gammalt X-Timestamp-värde, så kunde en autentiserad angripare fylla en objektserver med överflödiga objektgravstenar, vilket kan sakta ner förfrågningar avsevärt till den objektservern, och möjliggöra en överbelstningsangrepp mot Swift-klustrar.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 1.4.8-2+deb7u1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 1.8.0-6.

Vi rekommenderar att ni uppgraderar era swift-paket.