{ "document" : { "aggregate_severity" : { "text" : "mittel" }, "category" : "csaf_base", "csaf_version" : "2.0", "distribution" : { "tlp" : { "label" : "WHITE", "url" : "https://www.first.org/tlp/" } }, "lang" : "de-DE", "notes" : [ { "category" : "legal_disclaimer", "text" : "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen." }, { "category" : "description", "text" : "OpenSearch ist ein Open-Source-Softwarepaket für Such-, Analyse- und Beobachtungsanwendungen.", "title" : "Produktbeschreibung" }, { "category" : "summary", "text" : "Ein entfernter, authentifizierter Angreifer kann eine Schwachstelle in OpenSearch ausnutzen, um Dateien zu manipulieren oder einen Denial-of-Service-Zustand zu verursachen.", "title" : "Angriff" }, { "category" : "general", "text" : "- UNIX\n- Linux", "title" : "Betroffene Betriebssysteme" } ], "publisher" : { "category" : "other", "contact_details" : "csaf-provider@cert-bund.de", "name" : "Bundesamt für Sicherheit in der Informationstechnik", "namespace" : "https://www.bsi.bund.de" }, "references" : [ { "category" : "self", "summary" : "WID-SEC-W-2023-2667 - CSAF Version", "url" : "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-2667.json" }, { "category" : "self", "summary" : "WID-SEC-2023-2667 - Portal Version", "url" : "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-2667" }, { "category" : "external", "summary" : "OpenSearch Security Notification vom 2023-10-16", "url" : "https://github.com/opensearch-project/security/security/advisories/GHSA-72q2-gwwf-6hrv" }, { "category" : "external", "summary" : "OpenSearch Security Notification vom 2023-10-16", "url" : "https://www.cvedetails.com/cve/CVE-2023-45807/?utm_source=rssfeed" }, { "category" : "external", "summary" : "OpenSearch Security Notification vom 2023-10-16", "url" : "https://nvd.nist.gov/vuln/detail/CVE-2023-45807" } ], "source_lang" : "en-US", "title" : "OpenSearch: Schwachstelle ermöglicht Manipulation von Dateien und Denial-of-Service", "tracking" : { "current_release_date" : "2023-10-16T22:00:00.000+00:00", "generator" : { "date" : "2024-08-15T17:59:57.642+00:00", "engine" : { "name" : "BSI-WID", "version" : "1.3.5" } }, "id" : "WID-SEC-W-2023-2667", "initial_release_date" : "2023-10-16T22:00:00.000+00:00", "revision_history" : [ { "date" : "2023-10-16T22:00:00.000+00:00", "number" : "1", "summary" : "Initiale Fassung" } ], "status" : "final", "version" : "1" } }, "product_tree" : { "branches" : [ { "branches" : [ { "branches" : [ { "category" : "product_name", "name" : "Open Source OpenSearch < 1.3.14", "product" : { "name" : "Open Source OpenSearch < 1.3.14", "product_id" : "T030556", "product_identification_helper" : { "cpe" : "cpe:/a:amazon:opensearch:1.3.14" } } }, { "category" : "product_name", "name" : "Open Source OpenSearch < 2.11.0", "product" : { "name" : "Open Source OpenSearch < 2.11.0", "product_id" : "T030557", "product_identification_helper" : { "cpe" : "cpe:/a:amazon:opensearch:2.11.0" } } } ], "category" : "product_name", "name" : "OpenSearch" } ], "category" : "vendor", "name" : "Open Source" } ] }, "vulnerabilities" : [ { "cve" : "CVE-2023-45807", "notes" : [ { "category" : "description", "text" : "Es besteht eine Schwachstelle in OpenSearch. Dieser Fehler besteht in der Implementierung von Tenant-Berechtigungen, mit denen Benutzer Index-Metadaten von Dashboards und Visualisierungen in diesem Tenant erstellen, bearbeiten und löschen können, wodurch diese möglicherweise nicht mehr verfügbar sind. Ein entfernter, authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um Dateien zu manipulieren oder einen Denial-of-Service-Zustand zu verursachen." } ], "release_date" : "2023-10-16T22:00:00.000+00:00", "title" : "CVE-2023-45807" } ] }