Рекомендация Debian по безопасности

DSA-3953-1 aodh -- обновление безопасности

Дата сообщения:
23.08.2017
Затронутые пакеты:
aodh
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 872605.
В каталоге Mitre CVE: CVE-2017-12440.
Более подробная информация:

Зейн Биттер из Red Hat обнаружил уязвимость в Aodh, движок будильника для OpenStack. Aodh не выполняет проверку ни того, что пользователь, создающий будильник, имеет те же права, что и поручитель, ни того, что этот пользователь имеет доверительные права на проект, для которого создаётся будильник. Эта ошибка позволяет аутентифицированному пользователю, не имеющему Keystone-токен и обладающему знанием доверенных идентификаторов, выполнять различные действия, для которых требуется аутентификация, путём добавления различных действий сигнализации.

В стабильном выпуске (stretch) эта проблема была исправлена в версии 3.0.0-4+deb9u1.

Рекомендуется обновить пакеты aodh.