CH azonosító
CH-7136Angol cím
OpenStack Compute (Nova) Host File Injection and File Corruption VulnerabilitiesFelfedezés dátuma
2012.07.03.Súlyosság
KözepesÉrintett rendszerek
N/AOpenStack Compute (Nova)
Érintett verziók
OpenStack Compute (Nova) 2011.x, 2012.x
Összefoglaló
Az OpenStack Compute (Nova) olyan sérülékenységei váltak ismertté, melyeket kihasználva rosszindulatú felhasználók szolgáltatás megtagadást (DoS – Denial of Service) tudnak előidézni és feltörhetik a sérülékeny rendszert.
Leírás
- Az alkalmazás nem ellenőrzi megfelelően a fájl beillesztés kéréseket lemezképeknél (disk image). Ez kihasználható fájlok tetszőleges helyre történő beillesztésére a host fájlrendszeren könyvtár bejárásos támadások segítségével.
A sérülékenység kizárólag az OpenStack API használó libvirt-alapú hypervisorokon futó Essex (2012.1) verziókat érinti. - A lemezképeken (image) alapuló instance-ok kezelésében fellépő hibát kihasználva tetszőleges fájlokat lehet módosítani a host fájlrendszeren speciálisan erre a célra elkészített lemezképek segítségével, ami szolgáltatás megtagadáshoz (DoS – Denial of Service) vezet.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: review.openstack.org
Egyéb referencia: lists.launchpad.net
Egyéb referencia: bugs.launchpad.net
Egyéb referencia: github.com
Egyéb referencia: github.com
CVE-2012-3360 - NVD CVE-2012-3360
CVE-2012-3361 - NVD CVE-2012-3361
SECUNIA 49763