OSSA-2019-005: Octavia Amphora-Agent 未要求客户端证书

日期:

2019年10月07日

CVE:

CVE-2019-17134

影响

• Octavia: >=0.10.0 <2.1.2, >=3.0.0 <3.2.0, >=4.0.0 <4.1.0

描述

Daniel Preussker 报告了 Octavia Amphora 实例中运行的 amphora-agent 的一个漏洞，该漏洞允许来自管理网络的未认证访问。这会导致信息泄露，并且由于 cmd/agent.py gunicorn cert_reqs 选项错误地设置为 True 而不是 ssl.CERT_REQUIRED，因此可以通过简单的 HTTP 请求更改 Amphora 的配置。

补丁

• https://review.opendev.org/686547 (Ocata)

• https://review.opendev.org/686546 (Pike)

• https://review.opendev.org/686545 (Queens)

• https://review.opendev.org/686544 (Rocky)

• https://review.opendev.org/686543 (Stein)

• https://review.opendev.org/686541 (Train)

鸣谢

• Daniel Preussker (CVE-2019-17134)

参考

• https://storyboard.openstack.org/#!/story/2006660

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17134

说明

• stable/ocata 和 stable/pike 分支处于扩展维护阶段，将不会收到新的点版本，但会提供补丁作为一种礼貌。