OpenStack-Cinderの脆弱性: PowerFlexバックエンド認証情報の不適切な取り扱い(CVE-2020-10755)

Summary: このセキュリティ脆弱性は、PowerFlexストレージ バックエンドでCinderを使用している場合に発生します。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

このセキュリティ脆弱性は、CinderでPowerFlexバックエンドを使用している場合にのみ適用されます。その他のドライバーは影響を受けません。

Cause

Dell EMC ScaleIOバックエンド ストレージ ドライバーでCinderを使用する場合、バックエンド全体の認証情報は、その要素を含むすべてのBlock Storage v3 Attachments APIコールの「connection_info」要素で公開されます。これにより、エンド ユーザーはボリュームを作成し、添付ファイルの詳細情報を表示するAPI呼び出しを行い、別のユーザーのボリュームへの接続に使用できるユーザー名とパスワードを取得できます。さらに、これらの認証情報は、攻撃者が管理APIエンドポイントを検出した場合に、ScaleIO Management APIに対して有効です。

Resolution

対策

以下のOpenstackの記事に記載されている推奨アクションを適用します。

https://wiki.openstack.org/wiki/OSSN/OSSN-0086

問題が発生するバージョン

2.x、3.x

修正バージョン

なし

Affected Products

PowerFlex Software, VxFlex Product Family, VxFlex Ready Node, Ready Node Series
Article Properties
Article Number: 000203257
Article Type: Solution
Last Modified: 18 Feb 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.