Chyba zabezpečení OpenStack-Cinder: Nesprávné zacházení s přihlašovacími údaji backendu PowerFlex (CVE-2020-10755)

Summary: Tato chyba zabezpečení se vyskytuje při používání Cinder s backendem úložiště PowerFlex.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Tato chyba zabezpečení se týká pouze při použití backendu PowerFlex se systémem Cinder. Ostatních ovladačů se problém netýká.

Cause

Při použití cinder s ovladačem backendového úložiště Dell EMC ScaleIO se přihlašovací údaje pro celý backend zpřístupní v elementu "connection_info" ve všech voláních rozhraní API pro přílohy blokového úložiště v3, která tento prvek obsahují. Koncový uživatel tak může vytvořit svazek, zavolat rozhraní API pro zobrazení podrobností přílohy a načíst uživatelské jméno a heslo, které lze použít pro připojení ke svazku jiného uživatele. Kromě toho jsou tyto přihlašovací údaje platné pro rozhraní API pro správu ScaleIO, pokud by útočník zjistil koncový bod rozhraní API pro správu.

Resolution

Zástupné řešení

Použijte doporučené akce uvedené v článku Openstack níže:

https://wiki.openstack.org/wiki/OSSN/OSSN-0086

Dotčené verze

2.x, 3.x

Opraveno ve verzi

Není k dispozici

Affected Products

PowerFlex Software, VxFlex Product Family, VxFlex Ready Node, Ready Node Series
Article Properties
Article Number: 000203257
Article Type: Solution
Last Modified: 18 Feb 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.