漏洞信息详情

OpenStack Swift 拒绝服务漏洞

• CNNVD编号：CNNVD-201308-149
• 危害等级： 中危
  
• CVE编号： CVE-2013-4155
• 漏洞类型： 缓冲区溢出
• 发布时间： 2013-08-13
• 威胁类型： 远程
• 更新时间： 2013-08-22
• 厂        商： openstack
• 漏洞来源： Peter Portante

漏洞简介

OpenStack是美国国家航空航天局（National Aeronautics and Space Administration）和美国Rackspace公司合作研发的一个云平台管理项目。Swift（又名Object Storage）是其中的一个用于存储永久静态数据的存储项目。

Folsom，Grizzly，Havana中的OpenStack Swift 1.9.0及之前的版本中存在安全漏洞。由于提交的请求包含旧的X-Timestamp值。远程经过授权的攻击者可通过发送带有时间戳的DELETE请求，利用该漏洞把多余对象tombstone填充到对象服务器中，可减缓对该对象服务器的请求，对Swift集群进行拒绝服务攻击。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://review.openstack.org/#/c/40645/

参考网址

来源: review.openstack.org

链接:https://review.openstack.org/#/c/40646/

来源: review.openstack.org

链接:https://review.openstack.org/#/c/40645/

来源: review.openstack.org

链接:https://review.openstack.org/#/c/40643/

来源: bugs.launchpad.net

链接:https://bugs.launchpad.net/swift/+bug/1196932

来源: MLIST

名称: [oss-security] 20130807 [OSSA 2013-022] Swift Denial of Service using superfluous object tombstones (CVE-2013-4155)

链接:http://www.openwall.com/lists/oss-security/2013/08/07/6

来源: DEBIAN

名称: DSA-2737

链接:http://www.debian.org/security/2012/dsa-2737

来源: BID

名称: 61690

链接:http://www.securityfocus.com/bid/61690

受影响实体

• Openstack Swift:1.1.0:Rc2  
• Openstack Swift:1.1.0:Rc1  
• Openstack Swift:1.1.0  
• Openstack Swift:1.0.0  
• Openstack Swift:1.0.1  

补丁

暂无