Раскрытие важных данных в продуктах OpenStack

Дата публикации:
14.10.2014
Дата изменения:
14.10.2014
Всего просмотров:
500
Опасность:
Низкая
Наличие исправления:
Инстуркции по устранению
Количество уязвимостей:
2
CVSSv2 рейтинг:
(AV:L/AC:M/Au:N/C:P/I:P/A:N/E:U/RL:W/RC:C) = Base:3.3/Temporal:2.7
(AV:L/AC:M/Au:N/C:P/I:P/A:N/E:U/RL:W/RC:C) = Base:3.3/Temporal:2.7
CVE ID:
CVE-2014-7230
CVE-2014-7231
Вектор эксплуатации:
Локальная
Воздействие:
Раскрытие важных данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
OpenStack Cinder 2013.x
OpenStack Cinder 2014.x
OpenStack Compute (Nova) 2013.x
OpenStack Compute (Nova) 2014.x
OpenStack Trove 2014.x
OpenStack Trove 2013.x
Уязвимые версии:
OpenStack Cinder 2013.x
OpenStack Cinder 2014.x
OpenStack Compute (Nova) 2013.x
OpenStack Compute (Nova) 2014.x
OpenStack Trove 2013.x
OpenStack Trove 2014.x

Описание:
Уязвимость позволяет удаленному пользователю получить доступ к важным данным..

1. Уязвимость существует из-за ошибки, связанной с методом "processutils.execute()" при неудачном выполнении команд. Удаленный пользователь может раскрыть пароль в логах.

2. Уязвимость существует из-за ошибки, связанной с методом "strutils.mask_password()" при неудачном выполнении команд. Удаленный пользователь может раскрыть пароль в логах.

URL производителя: https://launchpad.net/cinder

Решение: Установите исправление из репозитория исходного кода.



Ссылки: https://bugs.launchpad.net/ossa/+bug/1343604
https://bugs.launchpad.net/ossa/+bug/1345233