OSSA-2016-002：Xen 连接密码通过 StorageError 在日志中泄露

OSSA-2016-002：Xen 连接密码通过 StorageError 在日志中泄露¶

日期:: 2016 年 1 月 11 日
CVE:: CVE-2015-8749

影响¶

Nova: >=2014.2 <= 2015.1.2, == 12.0.0

描述¶

IBM 的 Matt Riedemann 报告了 Nova 中的信息泄露漏洞。当尝试使用 Xen API 连接卷时，如果发生 StorageError，连接参数将被记录。这些参数可能包含未屏蔽的凭据。具有 Nova 日志读取权限的攻击者可以直接使用这些凭据与 Xen API 交互。只有使用 Xen 后端的 Nova 部署受到此缺陷的影响。

补丁¶

https://review.openstack.org/249239 (Kilo)
https://review.openstack.org/247825 (Liberty)
https://review.openstack.org/245987 (Mitaka)

鸣谢¶

IBM 的 Matt Riedemann (CVE-2015-8749)

参考¶

说明¶

此修复将包含在未来的 2015.1.3 (kilo) 和 12.0.1 (liberty) 版本中。

此页面上次更新时间：2025-12-09 16:24:10

Creative Commons Attribution 3.0 License

除非另有说明，本文档根据知识共享署名 3.0 许可授权。请参阅所有 OpenStack 法律文件。