OSSA-2014-011：Nova EC2 API 中 RBAC 策略未正确执行

OSSA-2014-011：Nova EC2 API 中 RBAC 策略未正确执行¶

日期:: 2014年04月09日
CVE:: CVE-2014-0167

影响¶

Nova：从 2013.1 到 2013.2.3

描述¶

育碧的 Marc Heckmann 报告了 Nova EC2 API 安全组实现中的一个漏洞。在使用 EC2 API 时，特别是 add_rules、remove_rules 和 destroy 方法，RBAC 策略未得到执行。受限用户可以通过使用 EC2 API 来绕过其限制，从而对安全组执行未经授权的操作。只有使用 Nova 的非默认 RBAC 规则的设置才可能受到影响。

补丁¶

https://review.openstack.org/#/c/86361 (Havana)
https://review.openstack.org/#/c/86360 (Icehouse)
https://review.openstack.org/#/c/86358 (Juno)

鸣谢¶

育碧的 Marc Heckmann (CVE-2014-0167)

参考¶

此页面上次更新时间：2025-12-09 16:24:10

Creative Commons Attribution 3.0 License

除非另有说明，本文档根据知识共享署名 3.0 许可授权。请参阅所有 OpenStack 法律文件。