OSSA-2014-041: Glance v2 API 未限制的路径遍历

OSSA-2014-041: Glance v2 API 未限制的路径遍历¶

日期:: 2014年12月23日
CVE:: CVE-2014-9493

影响¶

Glance: 最高至 2014.1.3 版本，以及 2014.2 版本最高至 2014.2.1

描述¶

NTT 的 Muroi Masahito 报告了 Glance 中的一个漏洞。通过设置恶意镜像位置，经过身份验证的用户可以下载或删除 Glance 服务器上 Glance 进程用户有权访问的任何文件。只有使用 Glance V2 API 的配置受到此缺陷的影响。

勘误¶

在最初发布公告时，尚未分配 CVE 编号。现在可以使用 CVE-2014-9493 来跟踪此漏洞。

补丁¶

https://review.openstack.org/142788 (Icehouse)
https://review.openstack.org/142373 (Juno)
https://review.openstack.org/141706 (Kilo)

鸣谢¶

NTT 的 Muroi Masahito (CVE-2014-9493)

参考¶

说明¶

此修复已包含在 kilo-1 开发里程碑中，并将包含在未来的 2014.2.2 (juno) 和 2014.1.4 (icehouse) 版本中。
OpenStack VMT 建议作为预防措施，撤销 Glance 可访问的文件中存储的所有凭据。

OSSA 历史¶

2015-01-05 - 勘误 1
2014-12-23 - 原始版本

此页面上次更新时间：2025-12-09 16:24:10

Creative Commons Attribution 3.0 License

除非另有说明，本文档根据知识共享署名 3.0 许可授权。请参阅所有 OpenStack 法律文件。