OSSA-2014-036：密码可能泄露到日志文件

日期:

2014年10月15日

CVE:

CVE-2014-7230, CVE-2014-7231

影响

• Nova: 最高至 2014.1.3

• Cinder：高达 2014.1.3

• Trove：高达 2014.1.2

描述

Tesora 的 Amrith Kumar 报告了 oslo-incubator 中 processutils.execute() 和 strutils.mask_password() 函数中的两个漏洞，这些函数被复制到每个项目的代码中。如果攻击者可以读取服务的日志，则可能获取用作失败命令参数的密码（CVE-2014-7230），或者在 mask_password 未正确掩盖密码时获取密码（CVE-2014-7231）。所有 Cinder、Nova 和 Trove 设置都受到影响。

补丁

• https://review.openstack.org/121382 (Icehouse)

• https://review.openstack.org/126665 (Icehouse)

• https://review.openstack.org/121096 (Icehouse)

• https://review.openstack.org/126699 (Icehouse)

• https://review.openstack.org/121416 (Icehouse)

• https://review.openstack.org/126594 (Juno)

• https://review.openstack.org/126592 (Juno)

• https://review.openstack.org/116927 (Kilo)

• https://review.openstack.org/126052 (Kilo)

• https://review.openstack.org/116982 (Kilo)

• https://review.openstack.org/126047 (Kilo)

• https://review.openstack.org/121417 (Kilo)

鸣谢

• Tesora 的 Amrith Kumar (CVE-2014-7230, CVE-2014-7231)

参考

• https://launchpad.net/bugs/1377981

• https://launchpad.net/bugs/1343604

• https://launchpad.net/bugs/1345233

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-7230

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-7231