OSSA-2013-021: Cinder LVM 卷驱动程序不支持安全删除

日期:

2013年8月7日

CVE:

CVE-2013-4183

影响

• Cinder: 2013.1 (Grizzly) 及更高版本

描述

UnitedStack 的 Rongze Zhu 报告了 Cinder LVM 卷驱动程序中的一个漏洞。即使配置了安全删除，LVM 快照的内容在删除后可能不会被清除，从而导致潜在的敏感数据暴露给其他租户的后续服务器。仅使用 LVMVolumeDriver 的配置受到影响。

补丁

• https://review.openstack.org/#/c/39565 (Grizzly)

• https://review.openstack.org/#/c/36506 (Havana)

鸣谢

• UnitedStack 的 Rongze Zhu (CVE-2013-4183)

参考

• https://launchpad.net/bugs/1198185

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4183