Kurzinfo CB-K15/1634 Update 2

4 Risiko: hoch
Information zu Schwachstellen und Sicherheitslücken
Titel: RabbitMQ: Zwei Schwachstellen ermöglichen u.a. Cross-Site-Scripting-Angriffe
Datum: 09.03.2016
Software: RabbitMQ >= 2.1.0, RabbitMQ <= 3.4.0, Red Hat Enterprise Linux OpenStack 5, Red Hat Enterprise Linux OpenStack 6, Red Hat Enterprise Linux OpenStack 7
Plattform: Red Hat Enterprise Linux 6, Red Hat Enterprise Linux 7, Extra Packages for Red Hat Enterprise Linux 7
Auswirkung: Cross-Site-Scripting
Remoteangriff: Ja
Risiko: hoch
CVE Liste: CVE-2014-9649, CVE-2014-9650
Bezug: Fedora Security Update FEDORA-EPEL-2015-f5273e10c1 (Fedora EPEL 7)
Beschreibung

RabbitMQ ist eine Message Broker Software, die das Advanced Message Queuing Protocol (AMQP) implementiert, und steht als Open Source zur Verfügung. Der RabbitMQ Server ist in der Programmiersprache Erlang geschrieben und baut auf dem Open Telecom Platform Framework auf. Client-Bibliotheken für die Anbindung des Brokers sind für alle wichtigen Programmiersprachen verfügbar.

Die Red Hat Enterprise Linux OpenStack Platform ist eine Cloud-Computing-Plattform, die sich aus einer Vielzahl von Komponenten zusammensetzt. Unter anderem dienen diese Komponenten der Virtualisierung und der Bereitstellung von Speicher.

Zwei Schwachstellen in dem Management-Plugin des RabbitMQ Servers erlauben einem entfernten, nicht authentisierten Angreifer Cross-Site-Scripting (XSS)- und Cross-Site-Request-Forgery (CSRF)-Angriffe durchzuführen. Für Fedora EPEL 7 wird ein Backport-Sicherheitsupdate in Form des Pakets rabbitmq-server-3.3.5-12.el7 bereitgestellt. Update: Für die Red Hat Enterprise Linux OpenStack Platform 5.0 (Icehouse) stehen für Red Hat Enterprise Linux 6 und 7 Sicherheitsupdates bereit, ebenso für die RHEL OpenStack Platform 7.0 (Kilo) auf Red Hat Enterprise Linux 7.

  1. Schwachstelle CVE-2014-9649 (NVD)

  2. Schwachstelle CVE-2014-9650 (NVD)

  3. Fedora Security Update FEDORA-EPEL-2015-f5273e10c1 (Fedora EPEL 7)

  4. Red Hat Security Advisory RHSA-2016:0308

  5. Red Hat Security Advisory RHSA-2016:0367

  6. Red Hat Security Advisory RHSA-2016:0368

  7. Red Hat Security Advisory RHSA-2016:0369

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.