OSSA-2013-031: Ceilometer DB2/MongoDB 后端密码泄露

OSSA-2013-031: Ceilometer DB2/MongoDB 后端密码泄露¶

日期:: 2013年11月25日
CVE:: CVE-2013-6384

影响¶

Ceilometer: 所有支持版本

描述¶

IBM 的 Eric Brown 报告了 Ceilometer 日志中的信息泄露。DB2 或 MongoDB 后端的密码以 INFO 级别记录在 ceilometer-api 日志中。具有日志访问权限（本地 shell、日志聚合系统访问或意外泄露）的攻击者可能会利用此漏洞来提升权限并获得对 Ceilometer 后端的直接完全访问权限。仅使用 DB2 或 MongoDB 后端的 Ceilometer 设置受到影响。

补丁¶

https://review.openstack.org/#/c/56396 (Havana)
https://review.openstack.org/#/c/54553 (Icehouse)

鸣谢¶

IBM 的 Eric Brown (CVE-2013-6384)

参考¶

此页面上次更新时间：2025-12-09 16:24:10

Creative Commons Attribution 3.0 License

除非另有说明，本文档根据知识共享署名 3.0 许可授权。请参阅所有 OpenStack 法律文件。