Luka w zabezpieczeniach OpenStack-Cinder: Nieprawidłowa obsługa poświadczeń bazy danych uwierzytelniających PowerFlex (CVE-2020-10755)

Summary: Ta luka w zabezpieczeniach występuje podczas korzystania z Cinder z zapleczem pamięci masowej PowerFlex.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Ta luka w zabezpieczeniach ma zastosowanie tylko w przypadku korzystania z zaplecza PowerFlex z Cinder. Problem nie dotyczy innych sterowników.

Cause

W przypadku korzystania z usługi Cinder ze sterownikiem wewnętrznej pamięci masowej Dell EMC ScaleIO poświadczenia dla całego zaplecza są widoczne w elemencie "connection_info" we wszystkich wywołaniach interfejsu API załączników usługi Block Storage v3 zawierających ten element. Dzięki temu użytkownik końcowy może utworzyć wolumin, wykonać wywołanie interfejsu API w celu wyświetlenia szczegółowych informacji o załączniku oraz pobrać nazwę użytkownika i hasło, które mogą służyć do nawiązywania połączenia z woluminem innego użytkownika. Ponadto te poświadczenia są prawidłowe dla interfejsu API zarządzania ScaleIO, jeśli osoba atakująca odnajdzie punkt końcowy interfejsu API zarządzania.

Resolution

Obejście problemu

Zastosuj zalecane działania w poniższym artykule Openstack:

https://wiki.openstack.org/wiki/OSSN/OSSN-0086

Wersje, których dotyczy problem

2.x, 3.x

Naprawiono w wersji

Nie dotyczy

Affected Products

PowerFlex Software, VxFlex Product Family, VxFlex Ready Node, Ready Node Series
Article Properties
Article Number: 000203257
Article Type: Solution
Last Modified: 18 Feb 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.