OSSA-2014-031：仅管理员可配置的网络属性可能被非特权用户重置为默认值

日期:

2014年9月29日

CVE:

CVE-2014-6414

影响

• Neutron：最高至 2013.2.4 版本以及 2014.1 版本最高至 2014.1.2

描述

Mirantis 的 Elena Ezhova 报告了 Neutron 中的一个漏洞。通过使用默认值更新网络属性，非特权用户可以重置仅管理员可配置的网络属性。这可能导致意外行为，对使用自定义 policy.json 的运营商或在某些极端情况下导致网络中断，从而造成拒绝服务。所有使用 neutron 网络的所有部署都受到此缺陷的影响。

补丁

• https://review.openstack.org/123849 (Icehouse)

• https://review.openstack.org/114531 (Juno)

鸣谢

• Elena Ezhova from Mirantis (CVE-2014-6414)

参考

• https://launchpad.net/bugs/1357379

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6414