OSSA-2013-026：使用 Qpid 时 Nova 可能存在拒绝服务漏洞

日期:

2013 年 9 月 12 日

CVE:

CVE-2013-4261

影响

• Nova：Folsom, Grizzly

描述

Red Hat 的 Jaroslav Henner 报告了在使用 Apache Qpid 作为 RPC 后端时 Nova 中的一个漏洞。通过向实例控制台发送任何长度超过 65K 字符的随机文本，并通过 API 请求控制台日志内容，经过身份验证的用户可能会破坏运行实例的 nova-compute 节点。此漏洞可能被用于针对云提供商的拒绝服务攻击。只有使用 Qpid 作为其 RPC 后端的 Folsom 和 Grizzly 设置受到影响。Havana 设置，或使用其他 RPC 后端（如 RabbitMQ）的设置均不受影响。

补丁

• https://review.openstack.org/#/c/45426 (Folsom)

• https://review.openstack.org/#/c/43303 (Grizzly)

鸣谢

• Red Hat 的 Jaroslav Henner (CVE-2013-4261)

参考

• https://launchpad.net/bugs/1215091

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4261