{
  "document" : {
    "aggregate_severity" : {
      "text" : "niedrig"
    },
    "category" : "csaf_base",
    "csaf_version" : "2.0",
    "distribution" : {
      "tlp" : {
        "label" : "WHITE",
        "url" : "https://www.first.org/tlp/"
      }
    },
    "lang" : "de-DE",
    "notes" : [ {
      "category" : "legal_disclaimer",
      "text" : "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen."
    }, {
      "category" : "description",
      "text" : "Enterprise Virtualization ist die Virtualisierungslösung von Red Hat, die die simultane Ausführung von verschiedenen Betriebssystemen auf einem Host-System ermöglicht.",
      "title" : "Produktbeschreibung"
    }, {
      "category" : "summary",
      "text" : "Ein entfernter, authentisierter Angreifer kann die Schwachstelle in Red Hat Enterprise Virtualization ausnutzen, um Sicherheitsmechanismen zu umgehen.",
      "title" : "Angriff"
    }, {
      "category" : "general",
      "text" : "- Linux",
      "title" : "Betroffene Betriebssysteme"
    } ],
    "publisher" : {
      "category" : "other",
      "contact_details" : "csaf-provider@cert-bund.de",
      "name" : "Bundesamt für Sicherheit in der Informationstechnik",
      "namespace" : "https://www.bsi.bund.de"
    },
    "references" : [ {
      "category" : "self",
      "summary" : "WID-SEC-W-2024-0960 - CSAF Version",
      "url" : "https://wid.cert-bund.de/.well-known/csaf/white/2017/wid-sec-w-2024-0960.json"
    }, {
      "category" : "self",
      "summary" : "WID-SEC-2024-0960 - Portal Version",
      "url" : "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-0960"
    }, {
      "category" : "external",
      "summary" : "Red Hat Security Advisory RHSA-2017:1685 vom 2017-07-06",
      "url" : "https://access.redhat.com/errata/RHSA-2017:1685"
    }, {
      "category" : "external",
      "summary" : "SUSE Security Update SUSE-SU-2020:3309-1 vom 2020-11-12",
      "url" : "https://lists.suse.com/pipermail/sle-security-updates/2020-November/007763.html"
    }, {
      "category" : "external",
      "summary" : "SUSE Security Update SUSE-SU-2024:1427-1 vom 2024-04-24",
      "url" : "https://lists.suse.com/pipermail/sle-security-updates/2024-April/018418.html"
    }, {
      "category" : "external",
      "summary" : "SUSE Security Update SUSE-SU-2024:1509-1 vom 2024-05-06",
      "url" : "https://lists.suse.com/pipermail/sle-security-updates/2024-May/018463.html"
    } ],
    "source_lang" : "en-US",
    "title" : "Red Hat Enterprise Virtualization (Ansible): Schwachstelle ermöglicht Umgehung von Sicherheitsrichtlinien",
    "tracking" : {
      "current_release_date" : "2024-05-06T22:00:00.000+00:00",
      "generator" : {
        "date" : "2024-08-15T18:08:08.173+00:00",
        "engine" : {
          "name" : "BSI-WID",
          "version" : "1.3.5"
        }
      },
      "id" : "WID-SEC-W-2024-0960",
      "initial_release_date" : "2017-07-06T22:00:00.000+00:00",
      "revision_history" : [ {
        "date" : "2017-07-06T22:00:00.000+00:00",
        "number" : "1",
        "summary" : "Initial Release"
      }, {
        "date" : "2017-07-06T22:00:00.000+00:00",
        "number" : "2",
        "summary" : "Version nicht vorhanden"
      }, {
        "date" : "2020-11-12T23:00:00.000+00:00",
        "number" : "3",
        "summary" : "Neue Updates von SUSE aufgenommen"
      }, {
        "date" : "2024-04-24T22:00:00.000+00:00",
        "number" : "4",
        "summary" : "Neue Updates von SUSE aufgenommen"
      }, {
        "date" : "2024-05-06T22:00:00.000+00:00",
        "number" : "5",
        "summary" : "Neue Updates von SUSE aufgenommen"
      } ],
      "status" : "final",
      "version" : "5"
    }
  },
  "product_tree" : {
    "branches" : [ {
      "branches" : [ {
        "branches" : [ {
          "category" : "product_version",
          "name" : "4.1",
          "product" : {
            "name" : "Red Hat Enterprise Virtualization 4.1",
            "product_id" : "T010200",
            "product_identification_helper" : {
              "cpe" : "cpe:/a:redhat:enterprise_virtualization:4.1"
            }
          }
        } ],
        "category" : "product_name",
        "name" : "Enterprise Virtualization"
      } ],
      "category" : "vendor",
      "name" : "Red Hat"
    }, {
      "branches" : [ {
        "category" : "product_name",
        "name" : "SUSE Linux",
        "product" : {
          "name" : "SUSE Linux",
          "product_id" : "T002207",
          "product_identification_helper" : {
            "cpe" : "cpe:/o:suse:suse_linux:-"
          }
        }
      } ],
      "category" : "vendor",
      "name" : "SUSE"
    } ]
  },
  "vulnerabilities" : [ {
    "cve" : "CVE-2016-8647",
    "notes" : [ {
      "category" : "description",
      "text" : "In Red Hat Enterprise Virtualization existiert eine Schwachstelle im Zusammenhnag mit dem \"mysql_user\" Modul von Ansible. Die Schwachstelle führt dazu, dass unter betimmten Umständen das Modul das Passwort des Nutzers nicht richtig ersetzt und das alte Passwort immer noch gültig bleibt. In der Folge kann ein entfernter authentisierter Angreifer diese Schwachstelle ausnutzen, um Sicherheitsmechanismen zu umgehen."
    } ],
    "product_status" : {
      "known_affected" : [ "T002207", "T010200" ]
    },
    "release_date" : "2017-07-06T22:00:00.000+00:00",
    "title" : "CVE-2016-8647"
  } ]
}