OSSA-2016-009: Neutron IPTables 防火墙反欺骗保护绕过¶
- 日期:
2016年6月14日
- CVE:
CVE-2016-5362 (DHCP 欺骗), CVE-2016-5363 (MAC 源地址欺骗), CVE-2015-8914 (ICMPv6 源地址欺骗)
影响¶
Neutron: <=7.0.4, >=8.0.0 <=8.1.0
描述¶
Nagravision 的 Romain Aviolat 和 Blue Box Group, Inc 的 Dustin Lundquist 独立报告了 Neutron 反欺骗保护中的漏洞。通过伪造 DHCP 发现消息或非 IP 流量,例如 ARP 或 ICMPv6,实例可能会在连接的网络上欺骗 IP 或 MAC 源地址,从而导致拒绝服务和/或流量拦截。此外,如果未使用 L2population,连接到共享网络的其他租户也容易受到攻击。使用 IPTables 防火墙驱动程序的 Neutron 设置受到影响。
补丁¶
https://review.openstack.org/299025 (MAC) (Liberty)
https://review.openstack.org/303572 (DHCP) (Liberty)
https://review.openstack.org/310652 (ICMPv6) (Liberty)
https://review.openstack.org/299023 (MAC) (Mitaka)
https://review.openstack.org/303563 (DHCP) (Mitaka)
https://review.openstack.org/310648 (ICMPv6) (Mitaka)
https://review.openstack.org/299021 (MAC) (Newton)
https://review.openstack.org/300202 (DHCP) (Newton)
https://review.openstack.org/300233 (ICMPv6) (Newton)
鸣谢¶
Nagravision 的 Romain Aviolat (CVE-2015-8914)
Blue Box Group, Inc 的 Dustin Lundquist (CVE-2016-5362, CVE-2016-5363)
