OSSA-2013-023：Nova/Cinder 扩展中的 XML 实体拒绝服务攻击

日期:

2013年8月8日

CVE:

CVE-2013-4179, CVE-2013-4202

影响

• Nova：Grizzly 及更高版本

• Cinder：Grizzly 及更高版本

描述

Red Hat 的 Grant Murphy 报告说，OSSA 2013-004 中的 XML 请求解析器漏洞并未完全修复。通过利用特定扩展中的 XML 实体扩展，未经身份验证的攻击者仍然可能消耗 Nova (CVE-2013-4179) 或 Cinder (CVE-2013-4202) API 服务器的过多资源，导致拒绝服务并可能导致崩溃。只有使用 Grizzly 中安全组扩展的 Nova 设置受到影响。只有使用 Grizzly 中备份或卷传输 API 扩展的 Cinder 设置受到影响。

补丁

• https://review.openstack.org/#/c/40880 (Grizzly)

• https://review.openstack.org/#/c/40883 (Grizzly)

• https://review.openstack.org/#/c/40879 (Havana)

• https://review.openstack.org/#/c/40881 (Havana)

鸣谢

• Red Hat 的 Grant Murphy (CVE-2013-4179, CVE-2013-4202)

参考

• https://launchpad.net/bugs/1190229

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4179

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4202