Translated message

A translation of this page exists in English.

OpenStack Director Sicherheitsproblem (CVE-2016-4474)

Public Date: June 13, 2016, 12:00 am
Updated -
Resolved Status
Important Impact

Eine Schwachstelle wurde in Overcloud Images festgestellt, welche vom Red Hat OpenStack Director zum Deloyment von OpenStack Umgebungen verwendet werden. Alle gelieferten Images haben das gleiche Standard-Root-Passwort.

Hintergrundinformationen

Overcloud Images werden erstellt, indem ein "Dienstprogramm" Red Hat Enterprise Linux Image in einer virtuellen Maschine gestartet wird, und das Image durch die Installation aller relevanten OpenStack Pakete für den Director angepasst wird. Bei dem Image des Dienstprogramms war jedoch folgender Parameter konfiguriert, und dieser Parameter wurde bei der Anpassung nicht geändert:

rootpw ROOTPW

Daraus folgte, dass alle gelieferten Images das Standard-Root-Passwort "ROOTPW" hatten.

Maßnahmen

Allen Red Hat Kunden mit OpenStack Umgebungen, die von betroffenen Director-Versionen bereitgestellt wurden, wird dringend empfohlen, Vorbeugungsmaßnahmen auf ihren Systemen anzuwenden. Alle neuen Deployments sollten die aktualisierten Overcloud Images verwenden. Image-Versionen und empfohlene Vorbeugungsmaßnahmen finden Sie im Tab Lösungen .

Die Red Hat Product Security bewertet dieses Update als Sicherheitsauswirkung Wichtig .

Alle OpenStack Systeme, die vom Director mit diesen Images bereitgestellt wurden, haben das bekannte Root-Passwort "ROOTPW". Wenn dieses Passwort nach dem Deployment nicht geändert wurde, kann ein Angreifer möglicherweise als Root auf das System zugreifen und es aktualisieren.

Da entfernter Root-Zugriff mittels SSH standardmäßig deaktiviert ist, bräuchte ein Angreifer einen Account auf dem Rechner oder Zugriff auf die Konsole über Undercloud Compute (diese Konfiguration wird nicht unterstützt) oder über andere Standard-Konsolentools.

Um diese Schwachstelle in Ihrer OpenStack Umgebung zu diagnostizieren, gehen Sie zum Tab Lösungen .

Betroffene Produkte

Folgende Red Hat Produktversionen sind betroffen:

  • Red Hat Enterprise Linux Platform 7.0 (Kilo) Director
  • Red Hat OpenStack Platform 8.0 (Liberty) Director

Diagnose

Folgendermaßen können Sie diese Schwachstelle leicht diagnostizieren:

  1. Führen Sie nova list auf der Undercloud aus, damit eine Liste von betroffenen Rechnern angezeigt wird.
  2. Versuchen Sie sich auf jedem Rechner mit dem Passwort 'ROOTPW' als 'root' anzumelden.

Vorbeugung

Sie können der Schwachstelle vorbeugen, indem Sie das Root-Passwort aller Rechner ändern, die vom Director bereitgestellt wurden, oder indem Sie den Root-Account einschränken:

  1. Führen Sie nova list auf der Undercloud aus, damit eine Liste von betroffenen Rechnern angezeigt wird.
  2. Loggen Sie sich in jeden Rechner ein und verschaffen Sie sich Root-Zugriff, zum Beispiel: 
    • $ ssh heat-admin@<your-system>
$ su -
  3. Wählen Sie eine der folgenden Optionen:
    • Ein neues Passwort einrichten: 
    • # passwd
    • Den Root-Account sperren: 
    • # passwd -l root

Updates für betroffene Produkte

Fehlerbehebungen für alle betroffenen Produkte wurden am 13. Juni 2016 veröffentlicht.

Errata bieten nur aktualisierte Images für zukünftige Deployments. Das Root-Passwort in aktuellen Deployments muss jedoch auch aktualisiert werden (siehe Vorbeugung).

Produkt Images Advisory/Update
Red Hat OpenStack Platform 8.0 (Liberty) Director rhosp-director-images-8.0-20160603.2.el7ost RHSA-2016:1222
Red Hat Enterprise Linux OpenStack Platform 7.0 (Kilo) Director overcloud-full Version 7.3.2 oder später RHSA-2016:1223

Share

Red Hat Customer Portal Twitter Facebook

Comments