Sikkerhetsproblem med OpenStack-Cinder: Feil håndtering av PowerFlex-backendlegitimasjon (CVE-2020-10755)
Summary: Dette sikkerhetsproblemet oppstår når du bruker Cinder med PowerFlex-lagringsserverdel.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Dette sikkerhetsproblemet gjelder bare når du bruker en PowerFlex-backend med Cinder. Andre sjåfører er ikke berørt.
Cause
Når du bruker Cinder med Dell EMC ScaleIO-driveren for backend-serverdel, vises legitimasjon for hele serverdelen i «connection_info»-elementet i alle API-kall for blokklagring v3 vedlegg som inneholder dette elementet. Dette gjør det mulig for en sluttbruker å opprette et volum, foreta et API-kall for å vise informasjon om vedleggsdetalj og hente et brukernavn og passord som kan brukes til å koble til en annen brukers volum. I tillegg er denne legitimasjonen gyldig for ScaleIO Management API hvis en angriper oppdager Management API-endepunktet.
Resolution
Omgåelse av problemet
Bruk de anbefalte handlingene i Openstack-artikkelen nedenfor:
https://wiki.openstack.org/wiki/OSSN/OSSN-0086
Berørte versjoner
2.x, 3.x
Løst i versjon
Ikke relevant
Affected Products
PowerFlex Software, VxFlex Product Family, VxFlex Ready Node, Ready Node SeriesArticle Properties
Article Number: 000203257
Article Type: Solution
Last Modified: 18 Feb 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.