Debians sikkerhedsbulletin

DSA-3953-1 aodh -- sikkerhedsopdatering

Rapporteret den:
23. aug 2017
Berørte pakker:
aodh
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 872605.
I Mitres CVE-ordbog: CVE-2017-12440.
Yderligere oplysninger:

Zane Bitter fra Red Hat opdagede en sårbarhed i Aodh, OpenStacks alarmmotor. Aodh verificerede ikke om brugeren, der opretter en alarm i trustor'en eller har de samme rettigheder som trustor'en, ej heller om trust'en gælder det samme projekt, som alarmen. Fejlen gjorde det muligt for en autentificeret bruger uden et Keystone-token, med viden om trust-ID'er, til at udføre uspecificerede autentificerede handlinger ved at tilføje alarmhandlinger.

I den stabile distribution (stretch), er dette problem rettet i version 3.0.0-4+deb9u1.

Vi anbefaler at du opgraderer dine aodh-pakker.