漏洞信息详情
OpenStack Nova 内存破坏漏洞
- CNNVD编号:CNNVD-201207-018
- 危害等级: 中危
- CVE编号: CVE-2012-3361
- 漏洞类型: 权限许可和访问控制
- 发布时间: 2012-07-05
- 威胁类型: 远程
- 更新时间: 2012-07-23
- 厂 商: openstack
- 漏洞来源: P?draig Brady
漏洞简介
OpenStack Compute(Nova)是用Python编写的云计算构造控制器,属于laaS系统的一部分。
OpenStack Compute (Nova) Folsom (2012.2)、Essex (2012.1)和Diablo (2011.3)中的virt/disk/api.py中存在漏洞。远程认证用户可利用该漏洞通过图像文件的符号链接攻击重写任意文件。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.ubuntu.com/usn/USN-1497-1/
参考网址
来源: review.openstack.org
链接:https://review.openstack.org/#/c/9268/
来源: MLIST
名称: [openstack] 20120603 [OSSA 2012-008] Arbitrary file injection/corruption through directory traversal issues (CVE-2012-3360, CVE-2012-3361)
链接:https://lists.launchpad.net/openstack/msg14089.HTML
来源: github.com
链接:https://github.com/openstack/nova/commit/b0feaffdb2b1c51182b8dce41b367f3449af5dd9
来源: github.com
链接:https://github.com/openstack/nova/commit/2427d4a99bed35baefd8f17ba422cb7aae8dcca7
来源: bugs.launchpad.net
链接:https://bugs.launchpad.net/nova/+bug/1015531
来源: UBUNTU
名称: USN-1497-1
链接:http://www.ubuntu.com/usn/USN-1497-1
来源: BID
名称: 54278
链接:http://www.securityfocus.com/bid/54278
来源: SECUNIA
名称: 49802
链接:http://secunia.com/advisories/49802
来源: SECUNIA
名称: 49763
链接:http://secunia.com/advisories/49763
来源:NSFOCUS 名称:19941 链接:http://www.nsfocus.net/vulndb/19941
受影响实体
- Openstack Folsom:2012.2
- Openstack Essex:2012.1
- Openstack Diablo:2011.3
补丁
- nova_2012.1+stable~20120612-3ee026e
- nova_2011.3
评论