OSSA-2013-027: Glance 镜像下载策略未对缓存镜像强制执行

日期:

2013年10月22日

CVE:

CVE-2013-4428

影响

• Glance: Grizzly, Folsom (以及更早版本)

描述

HP 的 Stuart McLaren 报告了 Glance 在缓存镜像的情况下，下载镜像策略执行存在漏洞。部署者可以选择设置下载镜像策略来限制特定角色的镜像下载。但是，当镜像先前被授权下载缓存时，任何经过身份验证的用户都可以下载镜像内容，只要他们能够确定镜像 UUID，从而绕过任何下载镜像策略限制。这可能导致本应受下载镜像策略设置保护的镜像内容泄露。只有使用下载镜像策略的配置才会受到影响。

补丁

• https://review.openstack.org/#/c/50860 (Folsom)

• https://review.openstack.org/#/c/50103 (Grizzly)

鸣谢

• HP 的 Stuart McLaren (CVE-2013-4428)

参考

• https://launchpad.net/bugs/1235378

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4428