OpenStack Nova 不安全临时目录创建漏洞(CVE

发布日期:2013-05-09
更新日期:2013-05-12

受影响系统:
openstack Nova
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 59786
 CVE(CAN) ID: CVE-2013-2030
 
OpenStack Compute (Nova)是用Python编写的云计算构造控制器,属于laaS系统的一部分。
 
OpenStack Nova在Keystone中间件签名目录(signing_dir)的实现上存在安全漏洞。如果攻击者可以访问Nova节点的本地shell,那么在建立了恶意目录结构后,攻击者可以向中间件发布伪造的令牌。只有使用signing_dir默认值的配置受到影响。在下个版本的Keystone中间件中,如果使用了不安全的签名目录,会提醒用户。
 
<*来源:Grant Murphy
 
  链接:https://lists.launchpad.net/openstack/msg23487.html
 *>

建议:
--------------------------------------------------------------------------------
厂商补丁:
 
openstack
 ---------
 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
 

 
Havana (development branch) fix:
 
 
Grizzly fix:
 
 
Folsom fix:
 
 
参考
 https://bugs.launchpad.net/nova/+bug/1174608
 ?name=2013-2030

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:http://www.heiqu.com/psxxf.html