OSSA-2015-011：通过 qcow2 备份文件泄露 Cinder 主机文件

日期:

2015 年 6 月 16 日

CVE:

CVE-2015-1851

影响

• Cinder：版本至 2014.1.4，以及 2014.2 版本至 2014.2.3，和版本 2015.1.0

描述

credativ 的 Bastian Blank 报告了 Cinder 中的一个漏洞。通过用恶意 qcow2 头部覆盖镜像，经过身份验证的用户可能会误导 Cinder 上传到镜像的操作，从而导致 Cinder 服务器上的任何文件泄露。所有 Cinder 设置都受到影响。

勘误

CVE-2015-1850 已分配给 Nova 中的一个类似问题，Cinder 的正确 CVE 编号是 CVE-2015-1851

补丁

• https://review.openstack.org/191871 (Icehouse)

• https://review.openstack.org/191865 (Juno)

• https://review.openstack.org/191786 (Kilo)

• https://review.openstack.org/191785 (Liberty)

鸣谢

• credativ 的 Bastian Blank (CVE-2015-1851)

参考

• https://launchpad.net/bugs/1415087

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1851

说明

• 此修复将包含在未来的 2014.1.5 (icehouse)、2014.2.4 (juno) 和 2015.1.1 (kilo) 版本中。

OSSA 历史

• 2015-06-17 - 勘误 1

• 2015-06-16 - 原始版本