OSSA-2013-012：Nova 未验证镜像虚拟大小

日期:

2013年5月16日

CVE:

CVE-2013-2096

影响

• Nova：所有版本

描述

Loganathan Parthipan 公开报告了 Nova 中的一个漏洞。Nova 没有实现对用作实例临时存储的 qcow2 镜像的虚拟大小的检查。因此，用户可以创建一个虚拟大小很大但数据很少的镜像。一旦创建实例，用户就可以继续填充虚拟磁盘，并消耗主机节点文件系统上的所有可用磁盘空间。

补丁

• https://review.openstack.org/#/c/29192 (Folsom)

• https://review.openstack.org/#/c/28901 (Grizzly)

• https://review.openstack.org/#/c/28717 (Havana)

鸣谢

• HP 的 Loganathan Parthipan (CVE-2013-2096)

参考

• https://launchpad.net/bugs/1177830

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2096