OSSA-2015-002: Glance v2 API 通过 filesystem:// 方案存在无限制路径遍历

OSSA-2015-002: Glance v2 API 通过 filesystem:// 方案存在无限制路径遍历¶

日期:: 2015年1月15日
CVE:: CVE-2015-1195

影响¶

Glance：最高至 2014.1.3 版本以及 2014.2 版本最高至 2014.2.1

描述¶

EMC 的 Jin Liu 报告称，Glance 中的路径遍历漏洞在 OSSA 2014-041 中并未完全修复。通过将恶意镜像位置设置为 filesystem:// 方案，经过身份验证的用户仍然可以下载或删除 Glance 服务器上 Glance 进程用户可访问的任何文件。只有使用 Glance V2 API 的设置受到此缺陷的影响。

勘误¶

在最初发布公告时，尚未分配 CVE 编号。现在可以使用 CVE-2015-1195 来跟踪此漏洞。

补丁¶

https://review.openstack.org/145974 (Icehouse)
https://review.openstack.org/145916 (Juno)
https://review.openstack.org/145640 (Kilo)

鸣谢¶

EMC 的 Jin Liu (CVE-2015-1195)

参考¶

说明¶

此修复已包含在 kilo-1 开发里程碑中，并将包含在未来的 2014.2.2 (juno) 和 2014.1.4 (icehouse) 版本中。
OpenStack VMT 建议作为预防措施，撤销 Glance 可访问的文件中存储的所有凭据。

OSSA 历史¶

2015-01-19 - 勘误 1
2015-01-15 - 原始版本

此页面上次更新时间：2025-12-09 16:24:10

Creative Commons Attribution 3.0 License

除非另有说明，本文档根据知识共享署名 3.0 许可授权。请参阅所有 OpenStack 法律文件。