OSSA-2013-019：Nova 私有风味中的资源限制绕过

日期:

2013年8月6日

CVE:

CVE-2013-2256

影响

• Nova：所有版本

描述

网易的 hzrandd 报告了 Nova 处理私有风味时存在资源限制绕过漏洞。任何租户可以通过猜测风味 ID 来查看并启动其他租户的私有风味。这不仅会暴露风味的名称、内存和磁盘大小、交换分配、VCPU 数量以及类似的风味属性，还可能允许绕过通过 os-flavor-access:is_public 属性强制执行的任何资源限制。

补丁

• https://review.openstack.org/#/c/38318 (Folsom)

• https://review.openstack.org/#/c/37992 (Grizzly)

• https://review.openstack.org/#/c/34963 (Havana)

鸣谢

• 网易的 hzrandd (CVE-2013-2256)

参考

• https://launchpad.net/bugs/1194093

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2256