OSSA-2020-002：非特权用户可以检索、使用和操作共享网络

日期:

2020年3月10日

CVE:

CVE-2020-9543

影响

• Manila：<7.4.1, >=8.0.0 <8.1.1, >=9.0.0 <9.1.1

描述

City Network Hosting AB 的 Tobias Rydberg 报告了 Manila 共享网络 API 中的一个漏洞。如果攻击者拥有共享网络 ID，他们可以检索和操作不属于自己的共享网络。通过利用此漏洞，他们可以查看和操作共享网络子网，并使用该共享网络创建资源，例如共享和共享组。

补丁

• https://review.opendev.org/712167 (Pike)

• https://review.opendev.org/712166 (Queens)

• https://review.opendev.org/712165 (Rocky)

• https://review.opendev.org/712164 (Stein)

• https://review.opendev.org/712163 (Train)

• https://review.opendev.org/712158 (Ussuri)

鸣谢

• City Network Hosting AB 的 Tobias Rydberg (CVE-2020-9543)

参考

• https://launchpad.net/bugs/1861485

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9543

说明

• stable/queens 和 stable/pike 分支处于扩展维护阶段，将不会收到新的点版本，但会提供补丁作为一种礼貌。