CH azonosító
CH-6100Angol cím
OpenStack Nova EC2 RegisterImage Action Directory Traversal VulnerabilitiesFelfedezés dátuma
2011.12.13.Súlyosság
KözepesÖsszefoglaló
Az OpenStack Compute (Nova) olyan sérülékenységei váltak ismertté, amelyeket rosszindulatú felhasználók kihasználhatnak a sérülékeny rendszer feltörésére.
Leírás
- Az alkalmazás az EC2 kép jegyzékben nem ellenőrzi megfelelően a képfájl neveket, amikor az EC2 RegisterImage kezelése történik, amely könyvtár bejárásos (directory traversal) támadásokkal kihasználható a jegyzett könyvtárakon kívül történő fájlok létrehozására.
- Az alkalmazás nem ellenőrzi megfelelően az EC2 kép tarfájlokban tárolt fájlok neveit, amikor az EC2 RegisterImage művelet kezelése történik, amely könyvtár bejárásos (directory traversal) támadásokkal kihasználható a jegyzett könyvtárakon kívül történő fájlok létrehozására.
A sérülékenység sikeresen kihasználásához EC2 API és the S3/RegisterImage műveletekhez történő hozzáférés szükséges.
A sérülékenységeket a 2011.3. és megelőző verziókban ismerték fel, de más verziók is érintettek lehetnek.
Megoldás
A sérülékenység javításra került a GIT adatbázisban.
Támadás típusa
Other (Egyéb)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 47254
CVE-2011-4596 - NVD CVE-2011-4596
Egyéb referencia: lists.launchpad.net
Egyéb referencia: bugs.launchpad.net
Egyéb referencia: bugs.launchpad.net
