OSSA-2016-012：恶意 qemu-img 输入可能导致 Cinder、Glance、Nova

日期:

2016 年 10 月 06 日

CVE:

CVE-2015-5162

影响

• Cinder：<=7.0.2，>=8.0.0 <=8.1.1

• Glance：<=11.0.1，==12.0.0

• Nova：<=12.0.4，==13.0.0

描述

Red Hat 的 Richard W.M. Jones 报告了一个影响 OpenStack Cinder、Glance 和 Nova 的漏洞。通过提供恶意构造的磁盘镜像，攻击者可以消耗大量的 RAM 和 CPU 时间，从而导致资源耗尽的服务拒绝。任何对 qemu-img 进行调用且未设置适当 ulimit 限制的项目都受到此漏洞的影响。

补丁

• https://review.openstack.org/382573 (cinder) (Liberty)

• https://review.openstack.org/378012 (glance) (Liberty)

• https://review.openstack.org/327624 (nova) (Liberty)

• https://review.openstack.org/375625 (cinder) (Mitaka)

• https://review.openstack.org/377736 (glance) (Mitaka)

• https://review.openstack.org/326327 (nova) (Mitaka)

• https://review.openstack.org/375102 (cinder) (Newton)

• https://review.openstack.org/377734 (glance) (Newton)

• https://review.openstack.org/307663 (nova) (Newton)

• https://review.openstack.org/375099 (cinder) (Ocata)

• https://review.openstack.org/375526 (glance) (Ocata)

鸣谢

• Red Hat 的 Richard W.M. Jones (CVE-2015-5162)

参考

• https://launchpad.net/bugs/1449062

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5162

说明

• 为 Cinder 和 Glance 列出了单独的 Ocata 补丁，因为它们是在 Newton 发布冻结后从 master 分支修复的。