OpenStack-Cinder-sikkerhedsrisiko: Forkert håndtering af PowerFlex backend-legitimationsoplysninger (CVE-2020-10755)

Summary: Denne sikkerhedsrisiko er til stede, når du bruger Cinder med PowerFlex-storagebackend.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Denne sikkerhedssårbarhed gælder kun, når du bruger en PowerFlex-backend med aske. Andre drivere påvirkes ikke.

Cause

Når du bruger Cinder med driveren til Dell EMC ScaleIO backend-storage, vises legitimationsoplysninger for hele backend i elementet "connection_info" i alle API-kald til vedhæftede filer i Block Storage v3, der indeholder det pågældende element. Dette gør det muligt for en slutbruger at oprette en diskenhed, foretage et API-kald for at vise oplysninger om vedhæftede filer og hente et brugernavn og en adgangskode, der kan bruges til at oprette forbindelse til en anden brugers diskenhed. Desuden er disse legitimationsoplysninger gyldige for ScaleIO Management API, hvis en hacker opdager Management API-slutpunktet.

Resolution

Løsning

Anvend de anbefalede handlinger i Openstack-artiklen nedenfor:

https://wiki.openstack.org/wiki/OSSN/OSSN-0086

Påvirkede versioner

2.x, 3.x

Fast i version

Ikke tilgængelig

Affected Products

PowerFlex Software, VxFlex Product Family, VxFlex Ready Node, Ready Node Series
Article Properties
Article Number: 000203257
Article Type: Solution
Last Modified: 18 Feb 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.