OSSA-2021-006：针对不存在的控制器的路由中间件内存泄漏

日期:

2021年9月9日

CVE:

CVE-2021-40797

影响

• Neutron：<16.4.1，>=17.0.0 <17.2.1，>=18.0.0 <18.1.1

描述

Red Hat 的 Slawek Kaplonski 报告了 Neutron 路由中间件中的一个漏洞。通过对涉及不存在的控制器的 API 请求，经过身份验证的用户可能会导致 API worker 消耗越来越多的内存，从而导致 API 性能下降或拒绝服务。所有 Neutron 部署都受到影响。

补丁

• https://review.opendev.org/807638 (Queens)

• https://review.opendev.org/807637 (Rocky)

• https://review.opendev.org/807636 (Stein)

• https://review.opendev.org/807635 (Train)

• https://review.opendev.org/807634 (Ussuri)

• https://review.opendev.org/807633 (Victoria)

• https://review.opendev.org/807632 (Wallaby)

• https://review.opendev.org/807335 (Xena)

鸣谢

• Red Hat 的 Slawek Kaplonski (CVE-2021-40797)

参考

• https://launchpad.net/bugs/1942179

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-40797

说明

• stable/train、stable/stein、stable/rocky 和 stable/queens 分支处于扩展维护之下，将不会收到新的点版本，但会提供补丁作为一种礼貌。