OSSA-2015-019: Glance 镜像状态操纵

OSSA-2015-019: Glance 镜像状态操纵¶

日期:: 2015年9月22日
CVE:: CVE-2015-5251

影响¶

Glance: <=2014.2.3, >=2015.1.0, <=2015.1.1

描述¶

Rackspace 的 Hemanth Makkapati 报告了 Glance 中的一个漏洞。通过提交带有 “x-image-meta-status” 头部的 HTTP PUT 请求，租户可以操纵其镜像的状态。恶意租户可能会利用此漏洞重新激活禁用的镜像，绕过存储配额，并且在某些情况下替换镜像内容。使用 Glance v1 API 的设置允许非法修改镜像状态。同时使用 v2 API 的设置可能会允许随后重新上传镜像内容。

补丁¶

https://review.openstack.org/226338 (Juno)
https://review.openstack.org/226337 (Kilo)
https://review.openstack.org/226336 (Liberty)

鸣谢¶

Rackspace 的 Hemanth Makkapati (CVE-2015-5251)

参考¶

说明¶

此修复将包含在未来的 2014.2.4 (juno) 和 2015.1.2 (kilo) 版本中。

此页面上次更新时间：2025-12-09 16:24:10

Creative Commons Attribution 3.0 License

除非另有说明，本文档根据知识共享署名 3.0 许可授权。请参阅所有 OpenStack 法律文件。