漏洞信息详情

OpenStack Compute 拒绝服务漏洞

• CNNVD编号：CNNVD-201311-001
• 危害等级： 中危
  
• CVE编号： CVE-2013-4469
• 漏洞类型： 资源管理错误
• 发布时间： 2013-11-04
• 威胁类型： 本地
• 更新时间： 2013-11-04
• 厂        商： openstack
• 漏洞来源：

漏洞简介

OpenStack是美国国家航空航天局（National Aeronautics and Space Administration）和美国Rackspace公司合作研发的一个云平台管理项目。OpenStack Compute（Nova）是其中的一个使用Python语言编写的云计算构造控制器，属于IaaS系统的一部分。Folsom、Grizzly、Havana是其发布的版本代号。

OpenStack Compute Folsom，Grizzly，Havana中存在拒绝服务漏洞，该漏洞源于当‘use_cow_images’设置为False时，程序没有验证QCOW2图像的虚拟大小。本地攻击者可通过使用恶意的QCOW2图像利用该漏洞造成拒绝服务（主机文件系统磁盘耗尽）。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www.openwall.com/lists/oss-security/2013/10/31/3

参考网址

来源: bugs.launchpad.net

链接:https://bugs.launchpad.net/nova/+bug/1206081

来源: MLIST

名称: [oss-security] 20131031 [OSSA 2013-029] Potential Nova denial of service through compressed disk images (CVE-2013-4463, CVE-2013-4469)

链接:http://www.openwall.com/lists/oss-security/2013/10/31/3

受影响实体

• Openstack Grizzly:-  
• Openstack Folsom:-  
• Openstack Havana:-  

补丁

• fake_libvirt_utils_new
• imagebackend_new
• images_new
• test_libvirt_new
• test_imagebackend_new