OSSA-2014-012：Glance Sheepdog 后端远程代码执行

日期:

2014年4月10日

CVE:

CVE-2014-0162

影响

• Glance：从 2013.2 到 2013.2.3

描述

Nebula 的 Paul McMillan 报告了 Glance Sheepdog 后端的一个漏洞。通过使用特制的 location，允许插入或修改 Glance 镜像元数据的用户可能在 Glance 主机上以 Glance 服务运行的用户身份触发代码执行。这可能导致 Glance 主机未经授权的访问，并进一步损害 Glance 服务。所有使用 Glance 服务器并启用（默认启用）sheepdog 后端的设置都受到影响。

补丁

• https://review.openstack.org/#/c/86626 (Havana)

• https://review.openstack.org/#/c/86625 (Icehouse)

• https://review.openstack.org/#/c/86622 (Juno)

鸣谢

• Nebula 的 Paul McMillan (CVE-2014-0162)

参考

• https://launchpad.net/bugs/1298698

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0162