OSSA-2015-003: Glance 用户存储配额绕过

OSSA-2015-003: Glance 用户存储配额绕过¶

日期:: 2015年1月26日
CVE:: CVE-2014-9623

影响¶

Glance: 最高至 2014.1.3 版本以及 2014.2 版本最高至 2014.2.1

描述¶

NTT 的 Tushar Patil 报告了 Glance 中的一个漏洞。通过删除正在上传的镜像，恶意用户可以绕过存储配额，从而可能超出后端容量。处于已删除状态的镜像不计入配额，并且在上传完成之前不会被有效删除。只有配置了 user_storage_quota 的 Glance 设置会受到影响。

补丁¶

https://review.openstack.org/149646 (Icehouse)
https://review.openstack.org/149387 (Juno)
https://review.openstack.org/144464 (Kilo)

鸣谢¶

NTT 的 Tushar Patil (CVE-2014-9623)

参考¶

说明¶

此修复将包含在 kilo-2 开发里程碑以及未来的 2014.2.2 (juno) 和 2014.1.4 (icehouse) 版本中。

此页面上次更新时间：2025-12-09 16:24:10

Creative Commons Attribution 3.0 License

除非另有说明，本文档根据知识共享署名 3.0 许可授权。请参阅所有 OpenStack 法律文件。