OSSA-2014-028：Glance存储因磁盘空间耗尽导致的DoS攻击

日期:

2014年8月21日

CVE:

CVE-2014-5356

影响

• Glance：最高至2013.2.3版本以及2014.1版本最高至2014.1.2

描述

惠普的Thomas Leaman和Stuart McLaren报告了Glance中的一个漏洞。通过上传足够大的镜像到Glance存储，经过身份验证的用户可能会填满存储空间，因为image_size_cap配置选项没有被遵守。这可能会阻止进一步的镜像上传和/或导致服务中断。请注意，导入方法不受影响。所有使用API v2的Glance设置都会受到影响（除非您使用策略来限制/禁用镜像上传）。

补丁

• https://review.openstack.org/#/c/115289 (Havana)

• https://review.openstack.org/#/c/115280 (Icehouse)

• https://review.openstack.org/#/c/91764 (Juno)

鸣谢

• Thomas Leaman 来自 HP (CVE-2014-5356)

• Stuart McLaren 来自 HP (CVE-2014-5356)

参考

• https://launchpad.net/bugs/1315321

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-5356