csaf_certbund - wid-sec-w-2023-2667

wid-sec-w-2023-2667

Vulnerability from csaf_certbund

Published

2023-10-16 22:00

Modified

2023-10-16 22:00

Summary

OpenSearch: Schwachstelle ermöglicht Manipulation von Dateien und Denial-of-Service

Notes

Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.

Produktbeschreibung

OpenSearch ist ein Open-Source-Softwarepaket für Such-, Analyse- und Beobachtungsanwendungen.

Angriff

Ein entfernter, authentifizierter Angreifer kann eine Schwachstelle in OpenSearch ausnutzen, um Dateien zu manipulieren oder einen Denial-of-Service-Zustand zu verursachen.

Betroffene Betriebssysteme

- UNIX - Linux

JSON

To clipboard

{
  "document": {
    "aggregate_severity": {
      "text": "mittel"
    },
    "category": "csaf_base",
    "csaf_version": "2.0",
    "distribution": {
      "tlp": {
        "label": "WHITE",
        "url": "https://www.first.org/tlp/"
      }
    },
    "lang": "de-DE",
    "notes": [
      {
        "category": "legal_disclaimer",
        "text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
      },
      {
        "category": "description",
        "text": "OpenSearch ist ein Open-Source-Softwarepaket f\u00fcr Such-, Analyse- und Beobachtungsanwendungen.",
        "title": "Produktbeschreibung"
      },
      {
        "category": "summary",
        "text": "Ein entfernter, authentifizierter Angreifer kann eine Schwachstelle in OpenSearch ausnutzen, um Dateien zu manipulieren oder einen Denial-of-Service-Zustand zu verursachen.",
        "title": "Angriff"
      },
      {
        "category": "general",
        "text": "- UNIX\n- Linux",
        "title": "Betroffene Betriebssysteme"
      }
    ],
    "publisher": {
      "category": "other",
      "contact_details": "csaf-provider@cert-bund.de",
      "name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
      "namespace": "https://www.bsi.bund.de"
    },
    "references": [
      {
        "category": "self",
        "summary": "WID-SEC-W-2023-2667 - CSAF Version",
        "url": "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-2667.json"
      },
      {
        "category": "self",
        "summary": "WID-SEC-2023-2667 - Portal Version",
        "url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-2667"
      },
      {
        "category": "external",
        "summary": "OpenSearch Security Notification vom 2023-10-16",
        "url": "https://github.com/opensearch-project/security/security/advisories/GHSA-72q2-gwwf-6hrv"
      },
      {
        "category": "external",
        "summary": "OpenSearch Security Notification vom 2023-10-16",
        "url": "https://www.cvedetails.com/cve/CVE-2023-45807/?utm_source=rssfeed"
      },
      {
        "category": "external",
        "summary": "OpenSearch Security Notification vom 2023-10-16",
        "url": "https://nvd.nist.gov/vuln/detail/CVE-2023-45807"
      }
    ],
    "source_lang": "en-US",
    "title": "OpenSearch: Schwachstelle erm\u00f6glicht Manipulation von Dateien und Denial-of-Service",
    "tracking": {
      "current_release_date": "2023-10-16T22:00:00.000+00:00",
      "generator": {
        "date": "2024-08-15T17:59:57.642+00:00",
        "engine": {
          "name": "BSI-WID",
          "version": "1.3.5"
        }
      },
      "id": "WID-SEC-W-2023-2667",
      "initial_release_date": "2023-10-16T22:00:00.000+00:00",
      "revision_history": [
        {
          "date": "2023-10-16T22:00:00.000+00:00",
          "number": "1",
          "summary": "Initiale Fassung"
        }
      ],
      "status": "final",
      "version": "1"
    }
  },
  "product_tree": {
    "branches": [
      {
        "branches": [
          {
            "branches": [
              {
                "category": "product_name",
                "name": "Open Source OpenSearch \u003c 1.3.14",
                "product": {
                  "name": "Open Source OpenSearch \u003c 1.3.14",
                  "product_id": "T030556",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:amazon:opensearch:1.3.14"
                  }
                }
              },
              {
                "category": "product_name",
                "name": "Open Source OpenSearch \u003c 2.11.0",
                "product": {
                  "name": "Open Source OpenSearch \u003c 2.11.0",
                  "product_id": "T030557",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:amazon:opensearch:2.11.0"
                  }
                }
              }
            ],
            "category": "product_name",
            "name": "OpenSearch"
          }
        ],
        "category": "vendor",
        "name": "Open Source"
      }
    ]
  },
  "vulnerabilities": [
    {
      "cve": "CVE-2023-45807",
      "notes": [
        {
          "category": "description",
          "text": "Es besteht eine Schwachstelle in OpenSearch. Dieser Fehler besteht in der Implementierung von Tenant-Berechtigungen, mit denen Benutzer Index-Metadaten von Dashboards und Visualisierungen in diesem Tenant erstellen, bearbeiten und l\u00f6schen k\u00f6nnen, wodurch diese m\u00f6glicherweise nicht mehr verf\u00fcgbar sind. Ein entfernter, authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um Dateien zu manipulieren oder einen Denial-of-Service-Zustand zu verursachen."
        }
      ],
      "release_date": "2023-10-16T22:00:00.000+00:00",
      "title": "CVE-2023-45807"
    }
  ]
}

CVE-2023-45807 (GCVE-0-2023-45807)

Vulnerability from cvelistv5

Published

2023-10-16 21:33

Modified

2024-09-13 18:59

Severity ?

5.4 (Medium) - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L

CWE

CWE-281 - Improper Preservation of Permissions

Summary

OpenSearch is a community-driven, open source fork of Elasticsearch and Kibana following the license change in early 2021. There is an issue with the implementation of tenant permissions in OpenSearch Dashboards where authenticated users with read-only access to a tenant can perform create, edit and delete operations on index metadata of dashboards and visualizations in that tenant, potentially rendering them unavailable. This issue does not affect index data, only metadata. Dashboards correctly enforces read-only permissions when indexing and updating documents. This issue does not provide additional read access to data users don’t already have. This issue can be mitigated by disabling the tenants functionality for the cluster. Versions 1.3.14 and 2.11.0 contain a fix for this issue.

References

►

URL

Tags

https://github.com/opensearch-project/security/security/advisories/GHSA-72q2-gwwf-6hrv

x_refsource_CONFIRM

Impacted products

	Vendor	Product	Version
	opensearch-project	security	Version: < 1.3.14.0 Version: >= 2.0.0.0, < 2.11.0.0

Show details on NVD website