OSSA-2014-024：使用非恒定时间比较操作

OSSA-2014-024：使用非恒定时间比较操作¶

日期:: 2014年7月17日
CVE:: CVE-2014-3517

影响¶

Nova：高达 2013.2.3，以及 2014.1 到 2014.1.1

描述¶

Rackspace 的 Alex Gaynor 报告了 Nova 中的一个时序攻击漏洞。通过分析对实例元数据请求的响应时间，攻击者可能能够猜测出有效的实例 ID 签名。这可能允许访问另一个实例的重要配置细节。只有配置为通过 Neutron 代理元数据请求的设置才会受到影响。

补丁¶

https://review.openstack.org/#/c/107398 (Havana)
https://review.openstack.org/#/c/107397 (Icehouse)
https://review.openstack.org/#/c/107396 (Juno)

鸣谢¶

Rackspace 的 Alex Gaynor (CVE-2014-3517)

参考¶

此页面上次更新时间：2025-12-09 16:24:10

Creative Commons Attribution 3.0 License

除非另有说明，本文档根据知识共享署名 3.0 许可授权。请参阅所有 OpenStack 法律文件。