OpenStack Nova 不安全临时目录创建漏洞(CVE-2013-2030)
发布日期:2013-05-09
更新日期:2013-05-12
受影响系统:
openstack Nova
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 59786
CVE(CAN) ID: CVE-2013-2030
OpenStack Compute (Nova)是用Python编写的云计算构造控制器,属于laaS系统的一部分。
OpenStack Nova在Keystone中间件签名目录(signing_dir)的实现上存在安全漏洞。如果攻击者可以访问Nova节点的本地shell,那么在建立了恶意目录结构后,攻击者可以向中间件发布伪造的令牌。只有使用signing_dir默认值的配置受到影响。在下个版本的Keystone中间件中,如果使用了不安全的签名目录,会提醒用户。
<*来源:Grant Murphy
链接:https://lists.launchpad.net/openstack/msg23487.html
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
openstack
---------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://lists.openstack.org/pipermail/openstack-announce/
Havana (development branch) fix:
https://review.openstack.org/#/c/28568/
Grizzly fix:
https://review.openstack.org/#/c/28569/
Folsom fix:
https://review.openstack.org/#/c/28570/
参考
https://bugs.launchpad.net/nova/+bug/1174608
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2013-2030