OpenStack Nova 不安全临时目录创建漏洞(CVE-2013-2030)

上善若水的木偶戏 2013-05-12

发布日期:2013-05-09
更新日期:2013-05-12

受影响系统:
openstack Nova
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 59786
 CVE(CAN) ID: CVE-2013-2030
 
OpenStack Compute (Nova)是用Python编写的云计算构造控制器,属于laaS系统的一部分。
 
OpenStack Nova在Keystone中间件签名目录(signing_dir)的实现上存在安全漏洞。如果攻击者可以访问Nova节点的本地shell,那么在建立了恶意目录结构后,攻击者可以向中间件发布伪造的令牌。只有使用signing_dir默认值的配置受到影响。在下个版本的Keystone中间件中,如果使用了不安全的签名目录,会提醒用户。
 
<*来源:Grant Murphy
 
  链接:https://lists.launchpad.net/openstack/msg23487.html
 *>

建议:
--------------------------------------------------------------------------------
厂商补丁:
 
openstack
 ---------
 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
 
http://lists.openstack.org/pipermail/openstack-announce/
 
Havana (development branch) fix:
 https://review.openstack.org/#/c/28568/
 
Grizzly fix:
 https://review.openstack.org/#/c/28569/
 
Folsom fix:
 https://review.openstack.org/#/c/28570/
 
参考
 https://bugs.launchpad.net/nova/+bug/1174608
 http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2013-2030

相关推荐

轻舟已过万重山 / 0评论 2019-10-26
轻舟已过万重山 / 0评论 2019-10-19