OSSA-2014-033:Cinder-volume 主机数据泄露到虚拟机实例¶
- 日期:
2014年10月02日
- CVE:
CVE-2014-3641
影响¶
Cinder:高达 2014.1.2
描述¶
惠普的 Duncan Thomas 报告了 Cinder GlusterFS 和 Linux Smbfs 驱动程序中的一个漏洞。通过在实例内部使用恶意 qcow2 标头覆盖卷,经过身份验证的用户可能能够克隆并附加该损坏的卷,从而导致受影响的驱动程序将 Cinder-volume 主机上的任意文件泄露到虚拟机实例。请注意,主机文件必须可被 Cinder 上下文读取才能被暴露。只有配置了 glusterfs_qcow2_volumes=False(默认值)的 GlusterFS 卷驱动程序的 Cinder 设置或配置了 smbfs_default_volume_format=raw(非默认值)的 Smbfs 卷驱动程序的 Cinder 设置受到影响。
补丁¶
https://review.openstack.org/125710 (Icehouse)
鸣谢¶
惠普的 Duncan Thomas (CVE-2014-3641)
