OpenStack-Cinder-haavoittuvuus: PowerFlex-taustapalvelimen tunnistetietojen virheellinen käsittely (CVE-2020-10755)

Summary: Tämä tietoturvahaavoittuvuus on olemassa, kun Cinderiä käytetään PowerFlex-tallennuksen taustajärjestelmän kanssa.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Tämä tietoturvahaavoittuvuus koskee vain käytettäessä PowerFlex-taustajärjestelmää Cinderin kanssa. Tämä ei vaikuta muihin ajureihin.

Cause

Kun Cinderiä käytetään Dell EMC ScaleIO -taustatallennusajurin kanssa, koko taustajärjestelmän tunnistetiedot näkyvät kaikkien kyseistä elementtiä sisältävien Block Storage v3 Attachments API -kutsujen connection_info-elementissä. Näin loppukäyttäjä voi luoda taltion, näyttää liitteen tiedot tekemällä ohjelmointirajapinnan ja hakea käyttäjänimen ja salasanan, joiden avulla voidaan muodostaa yhteys toisen käyttäjän taltioon. Lisäksi nämä tunnistetiedot ovat kelvollisia ScaleIO-hallintaohjelmointirajapinnalle, jos hyökkääjä löytää Management API -päätepisteen.

Resolution

Kiertotapa

Käytä alla olevan Openstack-artikkelin suositeltuja toimia:

https://wiki.openstack.org/wiki/OSSN/OSSN-0086

Versiot, joita ongelma koskee

2.x, 3.x

Korjattu versiossa

Affected Products

PowerFlex Software, VxFlex Product Family, VxFlex Ready Node, Ready Node Series
Article Properties
Article Number: 000203257
Article Type: Solution
Last Modified: 18 Feb 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.