OSSA-2014-002: Swift TempURL 时间攻击

日期:

2014年1月16日

CVE:

CVE-2014-0006

影响

• Swift: 所有支持版本

描述

SwiftStack 的 Samuel Merritt 报告了 Swift TempURL 中间件中的一个时间攻击漏洞。通过分析对任意 TempURL 请求的响应时间，攻击者可能能够猜测有效的密钥 URL，并访问原本仅打算与特定接收者公开共享的对象。为了使用此攻击，攻击者需要知道目标对象名称，并且对象账户需要设置 TempURL 密钥。只有启用 TempURL 中间件的 Swift 设置才会受到影响。

补丁

• https://review.openstack.org/#/c/67187 (Grizzly)

• https://review.openstack.org/#/c/67186 (Havana)

• https://review.openstack.org/#/c/67185 (Icehouse)

鸣谢

• SwiftStack 的 Samuel Merritt (CVE-2014-0006)

参考

• https://launchpad.net/bugs/1265665

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0006