OSSA-2014-004: Glance Swift 存储后端密码泄露

日期:

2014年2月12日

CVE:

CVE-2014-1948

影响

• Glance: 2013.2 版本至 2013.2.1

描述

Rackspace 的 Nikhil Komawar 报告了 Glance 日志中的信息泄露。如果策略未禁用镜像位置或存储是单租户配置，当存储认证失败时，Swift 存储后端的密码会以 WARNING 级别记录在 URL 中。具有日志访问权限（本地 shell、日志聚合系统访问或意外泄露）的攻击者可能会利用此漏洞来提升权限并直接完全访问 Glance Swift 存储后端。 仅使用 Swift 存储后端的 Glance 设置受到影响。

补丁

• https://review.openstack.org/#/c/72473 (Havana)

• https://review.openstack.org/#/c/71419 (Icehouse)

鸣谢

• Rackspace 的 Nikhil Komawar (CVE-2014-1948)

参考

• https://launchpad.net/bugs/1275062

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1948