Security Lab

Обход ограничений безопасности в OpenStack Compute (Nova)

Дата публикации:04.02.2013
Всего просмотров:860
Опасность:
Низкая
Наличие исправления: Инстуркции по устранению
Количество уязвимостей:1
CVSSv2 рейтинг: 6.8 (AV:N/AC:M/Au:N/C:P/I:P/A:P/E:U/RL:W/RC:C)
CVE ID: CVE-2013-0208
Вектор эксплуатации: Удаленная
Воздействие: Обход ограничений безопасности
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: OpenStack Compute (Nova) 2012.x
Уязвимые версии: OpenStack Compute (Nova) Essex (2012.1), возможно другие версии.
OpenStack Compute (Nova) Folsom (2012.2), возможно другие версии.

Описание:
Уязвимость позволяет удаленному пользователю обойти некоторые ограничения безопасности.

Уязвимость существует из-за того, что приложение не должным образом проверяет volume ID при использовании механизма Boot From Volume. Удаленный пользователь может обойти ограничения безопасности.

Для успешной эксплуатации уязвимости необходимо, чтобы механизм Cinder не использовался.

URL производителя: https://launchpad.net/nova

Решение: Установите обновление из GIT репозитория.

Ссылки: https://bugs.launchpad.net/nova/+bug/1069904
http://www.openwall.com/lists/oss-security/2013/01/29/9