OSSA-2012-001：使用 OpenStack API 的已认证用户绕过租户

日期:

2012 年 1 月 11 日

CVE:

CVE-2012-0030

影响

• Nova: 2011.3, Essex

描述

NTT PF lab 的上野幸治 (Nachi Ueno)、Vertex 的 Rohit Karajgi 和 HP 的 Venkatesan Ravikumar 发现 Nova API 节点处理传入请求时存在漏洞。已认证用户可能会构造恶意命令来影响其非成员租户的资源，可能导致错误的计费、超出配额或第三方创建的计算资源受到损害。只有允许使用 OpenStack API 的设置受到影响。

补丁

• https://review.openstack.org/#/c/2961 (Diablo)

• https://review.openstack.org/#/c/2960 (Essex)

鸣谢

• NTT PF lab 的上野幸治 (CVE-2012-0030)

• Vertex 的 Rohit Karajgi (CVE-2012-0030)

• HP 的 Venkatesan Ravikumar (CVE-2012-0030)

参考

• https://launchpad.net/bugs/904072

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0030