OSSA-2015-005: Nova 控制台跨站 WebSocket 劫持

OSSA-2015-005: Nova 控制台跨站 WebSocket 劫持¶

日期:: 2015年3月13日
CVE:: CVE-2015-0259

影响¶

Nova：最高至 2014.1.3 版本以及 2014.2 版本最高至 2014.2.2

描述¶

Cisco 的 Brian Manifold 和 Nebula 的 Paul McMillan 报告了 Nova 控制台 websocket 中的一个漏洞。通过诱骗已认证的用户访问恶意 URL，远程攻击者或中间人可能会利用跨站 WebSocket 劫持漏洞，导致用户仍然登录的控制台可能被劫持。只有启用了 vnc 或 spice 的 Nova 设置会受到影响。

补丁¶

https://review.openstack.org/163035 (Icehouse)
https://review.openstack.org/163034 (Juno)
https://review.openstack.org/163033 (Kilo)

鸣谢¶

Cisco 的 Brian Manifold (CVE-2015-0259)
Nebula 的 Paul McMillan (CVE-2015-0259)

参考¶

说明¶

此修复包含在 2014.1.4 (icehouse) 版本中，并将包含在 kilo-3 开发里程碑以及未来的 2014.2.3 (juno) 版本中。

此页面上次更新时间：2025-12-09 16:24:10

Creative Commons Attribution 3.0 License

除非另有说明，本文档根据知识共享署名 3.0 许可授权。请参阅所有 OpenStack 法律文件。