Beveiligingslek met betrekking tot OpenStack-Cinder: Onjuiste behandeling van PowerFlex back-endreferenties (CVE-2020-10755)

Summary: Dit beveiligingslek is aanwezig bij het gebruik van Cinder met PowerFlex storagebackend.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Dit beveiligingsprobleem is alleen van toepassing bij het gebruik van een PowerFlex backend met Cinder. Andere bestuurders worden hierdoor niet getroffen.

Cause

Wanneer u Cinder gebruikt met de Dell EMC ScaleIO back-end storagedriver, worden referenties voor de gehele back-end weergegeven in het element ''connection_info' in alle Block Storage v3 Attachments API-aanroepen die dat element bevatten. Hiermee kan een eindgebruiker een volume maken, een API-aanroep doen om de detailinformatie van de bijlage weer te geven en een gebruikersnaam en wachtwoord ophalen die kunnen worden gebruikt om verbinding te maken met het volume van een andere gebruiker. Bovendien zijn deze referenties geldig voor de ScaleIO Management API, mocht een aanvaller het eindpunt van de Management API ontdekken.

Resolution

Tijdelijke oplossing

Pas de aanbevolen acties toe in het Openstack-artikel hieronder:

https://wiki.openstack.org/wiki/OSSN/OSSN-0086

Versies waarop dit van toepassing is

2.x, 3.x

Opgelost in versie

N.v.t.

Affected Products

PowerFlex Software, VxFlex Product Family, VxFlex Ready Node, Ready Node Series
Article Properties
Article Number: 000203257
Article Type: Solution
Last Modified: 18 Feb 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.