OSSA-2015-012:Neutron L2 agent 因不正确的允许地址对导致DoS攻击¶
- 日期:
2015年6月23日
- CVE:
CVE-2015-3221
影响¶
Neutron:2014.2 版本至 2014.2.3 版本以及 2015.1.0 版本
描述¶
HP 的 Darragh O’Reilly 报告了 Neutron 中的一个漏洞。通过添加 ipset 工具拒绝的无效地址对,经过身份验证的用户可能会导致 Neutron L2 agent 崩溃,从而导致拒绝服务攻击。使用 IPTables 防火墙驱动程序的 Neutron 设置受到影响。
补丁¶
鸣谢¶
HP 的 Darragh O’Reilly (CVE-2015-3221)
参考¶
说明¶
此修复将包含在未来的 2014.2.4 (juno) 和 2015.1.1 (kilo) 版本中。
Juno API 不再接受前缀为零的地址对,用户需要使用 0.0.0.0/1 和 128.0.0.1/1 或 ::/1 和 8000::/1。提供了 fix_zero_length_ip_prefix.py 工具来清理先前配置了前缀为零的地址对的端口
