Vulnerabilidad de OpenStack-Cinder: Manejo incorrecto de las credenciales de backend de PowerFlex (CVE-2020-10755)

Summary: Esta vulnerabilidad de seguridad está presente cuando se utiliza Cinder con el back-end de almacenamiento de PowerFlex.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Esta vulnerabilidad de seguridad se aplica solo cuando se utiliza un back-end de PowerFlex con Cinder. Otros conductores no se ven afectados.

Cause

Cuando se utiliza Cinder con el controlador de almacenamiento de back-end de Dell EMC ScaleIO, las credenciales de todo el back-end se exponen en el elemento "connection_info" en todas las llamadas a la API de datos adjuntos de Block Storage v3 que contienen ese elemento. Esto permite que un usuario final cree un volumen, realice una llamada a la API para mostrar la información detallada de los datos adjuntos y recupere un nombre de usuario y una contraseña que se pueden utilizar para conectarse al volumen de otro usuario. Además, estas credenciales son válidas para la API de administración de ScaleIO, en caso de que un atacante descubra el terminal de la API de administración.

Resolution

Solución alternativa

Aplique las acciones recomendadas en el siguiente artículo de Openstack:

https://wiki.openstack.org/wiki/OSSN/OSSN-0086

Versiones afectadas

2.x, 3.x

Problema corregido en la versión

N/D

Affected Products

PowerFlex Software, VxFlex Product Family, VxFlex Ready Node, Ready Node Series
Article Properties
Article Number: 000203257
Article Type: Solution
Last Modified: 18 Feb 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.