OSSA-2012-007：安全组设置不正确

日期:

2012年6月06日

CVE:

CVE-2012-2654

影响

• Nova：所有版本

描述

HP Cloud Services 报告了 Nova API 处理中的一个漏洞。当通过 EC2 或 OS API 创建安全组时，如果使用的协议定义了不正确的大小写，例如 ‘TCP’ 而不是 ‘tcp’，会导致后续字符串比较失败。这会导致安全组设置不正确。一旦 Nova DB 被包含不正确大小写的数据污染，任何后续对安全组的修改也会失败。使 Nova 对 Nova DB 中可能存在的任何协议大小写不一致具有弹性。用户可能需要考虑清理他们的数据库，强制所有协议条目转换为小写，从而加强数据库的安全性，防止未来代码可能期望数据为小写而导致故障。

补丁

• https://review.openstack.org/#/c/8239 (Diablo)

• https://review.openstack.org/#/c/8238 (Essex)

• https://review.openstack.org/#/c/8237 (Folsom)

鸣谢

• HP Cloud Services from HP (CVE-2012-2654)

参考

• https://launchpad.net/bugs/985184

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2654