OpenStack-Cinder-Sicherheitslücke: Unsachgemäßer Umgang mit PowerFlex-Back-end-Zugangsdaten (CVE-2020-10755)

Summary: Diese Sicherheitslücke besteht bei der Verwendung von Cinder mit dem PowerFlex-Storage-Backend.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Diese Sicherheitslücke gilt nur bei Verwendung eines PowerFlex-Backends mit Cinder. Andere Treiber sind nicht betroffen.

Cause

Bei Verwendung von Cinder mit dem Dell EMC ScaleIO-Back-end-Storage-Treiber werden die Zugangsdaten für das gesamte Back-end im Element ''connection_info'' in allen API-Aufrufen von Block Storage v3 Attachments verfügbar gemacht, die dieses Element enthalten. Auf diese Weise kann ein Endnutzer ein Volume erstellen, einen API-Aufruf durchführen, um die Details des Anhangs anzuzeigen, und einen Nutzernamen und ein Kennwort abrufen, die verwendet werden können, um eine Verbindung zum Volume eines anderen Nutzers herzustellen. Darüber hinaus sind diese Anmeldedaten für die ScaleIO Management API gültig, falls ein Angreifer den Management API-Endpunkt erkennt.

Resolution

Problemumgehung

Wenden Sie die empfohlenen Maßnahmen im folgenden OpenStack-Artikel an:

https://wiki.openstack.org/wiki/OSSN/OSSN-0086

Betroffene Versionen

2.x, 3.x

Behoben in Version

N. z.

Affected Products

PowerFlex Software, VxFlex Product Family, VxFlex Ready Node, Ready Node Series
Article Properties
Article Number: 000203257
Article Type: Solution
Last Modified: 18 Feb 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.