Säkerhetsbulletin från Debian

DSA-3953-1 aodh -- säkerhetsuppdatering

Rapporterat den:
2017-08-23
Berörda paket:
aodh
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 872605.
I Mitres CVE-förteckning: CVE-2017-12440.
Ytterligare information:

Zane Bitter från Red Hat upptäckte en sårbarhet i Aodh, alarmmotorn för OpenStack. Aodh verifierar inte att användaren som skapar alarmet är den som har förtroendet, eller har samma rättigheter som denna person, och inte heller att förtroendet är för samma projekt som alarmet. Detta fel tillåter att en autentiserad användare utan en Keystone-symbol med kännedom om trust-IDs kan utföra ospecifierade autentiserade handlingar genom att lägga till alarmhandlingar.

För den stabila utgåvan (Stretch) har detta problem rättats i version 3.0.0-4+deb9u1.

Vi rekommenderar att ni uppgraderar era aodh-paket.