OSSA-2012-017：图像删除认证绕过

日期:

2012年11月07日

CVE:

CVE-2012-4573, CVE-2012-5482

影响

• Glance：Essex, Folsom, Grizzly

描述

Rackspace 的 Gabe Westmaas 报告了 Glance 在图像删除请求认证方面存在漏洞。经过身份验证的用户可能能够删除 Glance 服务器上的任意非保护图像。只有暴露 v1 API 的 Folsom/Grizzly 部署受到此漏洞的影响。此外，使用 delayed_delete 选项的 Essex 部署也受到影响。

补丁

• https://review.openstack.org/#/c/15562 (Essex)

• https://review.openstack.org/#/c/15563 (Folsom)

• https://review.openstack.org/#/c/15658 (Grizzly)

• https://review.openstack.org/#/c/15659 (Grizzly)

• https://review.openstack.org/#/c/15564 (Grizzly)

鸣谢

• Rackspace 的 Gabe Westmaas (CVE-2012-4573, CVE-2012-5482)

参考

• https://launchpad.net/bugs/1065187

• https://launchpad.net/bugs/1076506

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-4573

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-5482