发布日期:2013-05-09
更新日期:2013-05-12受影响系统:
openstack Nova
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 59786
CVE(CAN) ID: CVE-2013-2030
OpenStack Compute (Nova)是用Python编写的云计算构造控制器,属于laaS系统的一部分。
OpenStack Nova在Keystone中间件签名目录(signing_dir)的实现上存在安全漏洞。如果攻击者可以访问Nova节点的本地shell,那么在建立了恶意目录结构后,攻击者可以向中间件发布伪造的令牌。只有使用signing_dir默认值的配置受到影响。在下个版本的Keystone中间件中,如果使用了不安全的签名目录,会提醒用户。
<*来源:Grant Murphy
链接:https://lists.launchpad.net/openstack/msg23487.html
*>建议:
--------------------------------------------------------------------------------
厂商补丁:
openstack
---------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://lists.openstack.org/pipermail/openstack-announce/
Havana (development branch) fix:
https://review.openstack.org/#/c/28568/
Grizzly fix:
https://review.openstack.org/#/c/28569/
Folsom fix:
https://review.openstack.org/#/c/28570/
参考
https://bugs.launchpad.net/nova/+bug/1174608
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2013-2030OpenStack Keystone 令牌验证安全限制绕过漏洞Adobe ColdFusion未授权远程检索文件漏洞相关资讯 OpenStack Nova
- OpenStack Nova拒绝服务漏洞(CVE- (今 15:01)
- OpenStack Nova信息泄露漏洞(CVE- (07/19/2014 07:46:08)
- OpenStack Nova拒绝服务漏洞(CVE- (09/07/2013 06:17:58)
| - OpenStack Nova拒绝服务漏洞(CVE- (10/30/2014 13:56:42)
- OpenStack Compute (Nova) 信息泄 (01/27/2014 21:13:32)
- OpenStack Hands on lab 4-2: Nova (08/01/2013 09:43:19)
|
本文评论 查看全部评论 (0)
易网时代-编程资源站