Раскрытие важных данных в OpenStack Cinder

Дата публикации:
08.10.2014
Дата изменения:
08.10.2014
Всего просмотров:
689
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
(AV:L/AC:M/Au:N/C:C/I:N/A:N/E:U/RL:O/RC:C) = Base:4.7/Temporal:3.5
CVE ID:
CVE-2014-3641
Вектор эксплуатации:
Локальная
Воздействие:
Раскрытие важных данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
OpenStack Cinder 2014.x
Уязвимые версии:
OpenStack Cinder версии с 2014.1.x (Icehouse) до 2014.1.2

Описание:
Уязвимость позволяет локальному пользователю раскрыть содержимое произвольных файлов.

Уязвимость существует из-за ошибки при обработке raw или qcow2 изображений. Локальный пользователь может раскрыть содержимое произвольных файлов в файловой системе хоста.

Примечание: Для успешной эксплуатации уязвимости необходимо, чтобы драйвер тома GlusterFS был включен (отключен по умолчанию).

Решение: Установите исправление из репозитория исходного кода.



Ссылки: http://www.openwall.com/lists/oss-security/2014/10/02/47
https://bugs.launchpad.net/cinder/+bug/1350504