OSSA-2015-004: Glance 导入任务在后端泄露镜像

日期:

2015年2月23日

CVE:

CVE-2014-9684, CVE-2015-1881

影响

• Glance: 2014.2 版本至 2014.2.2

描述

NTT 的 Abhishek Kekane 和 Mirantis 的 Mike Fedosin 报告了 Glance 导入任务中的一个漏洞。通过使用任务 API 创建大量镜像并删除它们，经过身份验证的攻击者可能会在后端积累未跟踪的镜像数据，从而导致潜在的资源耗尽和拒绝服务。所有使用 API v2 的 glance 设置都受到影响。

补丁

• https://review.openstack.org/156553 (Juno)

• https://review.openstack.org/157067 (Juno)

• https://review.openstack.org/156493 (Kilo)

• https://review.openstack.org/122427 (Kilo)

鸣谢

• NTT 的 Abhishek Kekane (CVE-2015-1881)

• Mirantis 的 Mike Fedosin (CVE-2014-9684)

参考

• https://launchpad.net/bugs/1420696

• https://launchpad.net/bugs/1371118

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-9684

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1881

说明

• 此修复将包含在 kilo-3 开发里程碑以及未来的 2014.2.3 (juno) 版本中。