漏洞信息详情

OpenStack Ceilometer 日志信息泄露漏洞

• CNNVD编号：CNNVD-201311-342
• 危害等级： 低危
  
• CVE编号： CVE-2013-6384
• 漏洞类型： 日志信息泄露
• 发布时间： 2013-11-23
• 威胁类型： 本地
• 更新时间： 2020-10-28
• 厂        商： openstack
• 漏洞来源：

漏洞简介

OpenStack是美国国家航空航天局（National Aeronautics and Space Administration）和美国Rackspace公司合作研发的一个云平台管理项目。

OpenStack Ceilometer 2013.2及之前的版本中的impl_db2.py和impl_mongodb.py文件中存在日志信息泄露漏洞，该漏洞源于当登录级别设置为INFO时，ceilometer-api日志文件中记录连接字符串。本地攻击者可通过读取日志文件利用该漏洞获取敏感信息（DB2或MongoDB密码）。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://bugs.launchpad.net/ceilometer/+bug/1244476

参考网址

来源:CONFIRM

链接:https://bugs.launchpad.net/ceilometer/+bug/1244476

来源:MLIST

链接:http://www.openwall.com/lists/oss-security/2013/11/22/3

来源:MLIST

链接:http://www.openwall.com/lists/oss-security/2013/11/25/3

受影响实体

• Openstack Ceilometer:2013.2  
• Openstack Ceilometer:2013.1  

补丁

• ceilometer-2013.2.1
• ceilometer-2013.2.1
• ceilometer-2014.1.b1
• ceilometer-2014.1.b1