Faille de sécurité OpenStack-Cinder : Gestion incorrecte des informations d’identification du back-end PowerFlex (CVE-2020-10755)

Summary: Cette faille de sécurité est présente lors de l’utilisation de Cinder avec le back-end de stockage PowerFlex.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Cette faille de sécurité s’applique uniquement lors de l’utilisation d’un back-end PowerFlex avec Cinder. Les autres pilotes ne sont pas affectés.

Cause

Lors de l’utilisation de Cinder avec le pilote de stockage back-end ScaleIO Dell EMC, les informations d’identification de l’ensemble du back-end sont exposées dans l’élément « connection_info'' dans tous les appels d’API Block Storage v3 Attachments contenant cet élément. Cela permet à un utilisateur final de créer un volume, de passer un appel API pour afficher les informations de pièce jointe et de récupérer un nom d’utilisateur et un mot de passe qui peuvent être utilisés pour se connecter au volume d’un autre utilisateur. En outre, ces informations d’identification sont valides pour l’API de gestion ScaleIO, au cas où un attaquant découvrirait le point de terminaison de l’API de gestion.

Resolution

Solution

Appliquez les actions recommandées dans l’article OpenStack ci-dessous :

https://wiki.openstack.org/wiki/OSSN/OSSN-0086

Versions affectées

2.x, 3.x

Problème résolu dans la version

Sans objet

Affected Products

PowerFlex Software, VxFlex Product Family, VxFlex Ready Node, Ready Node Series
Article Properties
Article Number: 000203257
Article Type: Solution
Last Modified: 18 Feb 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.