OSSA-2017-006：Nova FilterScheduler 在使用新镜像重建时会使资源分配翻倍

日期:

2017年12月05日

CVE:

CVE-2017-17051

影响

• Nova: ==16.0.3

描述

华为的 Matt Riedemann 报告了 OpenStack Nova 默认 FilterScheduler 中的一个漏洞。通过重复使用新镜像重建实例，经过身份验证的用户可能会消耗超visor 主机上未跟踪的资源，从而导致拒绝服务。此回归是在 OSSA-2017-005 (CVE-2017-16239) 的修复中引入的，但是，只有应用了该修复的 Nova 稳定/pike 或更高版本的部署，并且依赖于默认 FilterScheduler 时才会受到影响。

补丁

• https://review.openstack.org/523214 (Pike)

• https://review.openstack.org/521662 (Queens)

鸣谢

• 华为的 Matt Riedemann (CVE-2017-17051)

参考

• https://launchpad.net/bugs/1732976

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-17051