OSSA-2015-020: Glance 存储溢出

日期:

2015年10月01日

CVE:

CVE-2015-5286

影响

• Glance: <=2014.2.3, >=2015.1.0, <=2015.1.1

描述

Mirantis 的 Mike Fedosin 和 Alexei Galkin 报告了 Glance 中的一个漏洞。恶意用户可以通过删除正在使用即将过期的令牌上传的镜像，绕过存储配额并在后端积累未跟踪的镜像数据，从而导致潜在的资源耗尽和拒绝服务。所有使用 V1 API 的 Glance 设置都受到影响，所有使用启用 registry db_api 的 V2 API 的设置也受到影响。

补丁

• https://review.openstack.org/229946 (Juno)

• https://review.openstack.org/229975 (Juno)

• https://review.openstack.org/229945 (Kilo)

• https://review.openstack.org/229973 (Kilo)

• https://review.openstack.org/230056 (Liberty)

• https://review.openstack.org/229972 (Liberty)

• https://review.openstack.org/229943 (Mitaka)

• https://review.openstack.org/229971 (Mitaka)

鸣谢

• Mirantis 的 Mike Fedosin (CVE-2015-5286)

• Mirantis 的 Alexei Galkin (CVE-2015-5286)

参考

• https://bugs.launchpad.net/bugs/1498163

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5286

说明

• 此修复将包含在未来的 2014.2.4 (juno) 和 2015.1.2 (kilo) 版本中。