Vulnerabilidade OpenStack-Cinder: Tratamento inadequado de credenciais de back-end do PowerFlex (CVE-2020-10755)

Summary: Essa vulnerabilidade de segurança está presente ao usar o Cinder com o back-end de armazenamento do PowerFlex.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Essa vulnerabilidade de segurança se aplica somente ao usar um back-end do PowerFlex com Cinder. Outros drivers não são afetados.

Cause

Ao usar o Cinder com o driver de armazenamento de back-end do Dell EMC ScaleIO, as credenciais de todo o back-end são expostas no elemento "connection_info" em todas as chamadas API de anexos do Block Storage v3 que contêm esse elemento. Isso permite que um usuário final crie um volume, faça uma chamada de API para mostrar as informações detalhadas do anexo e recupere um nome de usuário e uma senha que podem ser usados para se conectar ao volume de outro usuário. Além disso, essas credenciais são válidas para a API de gerenciamento do ScaleIO, caso um invasor detecte o endpoint da API de gerenciamento.

Resolution

Solução temporária

Aplique as ações recomendadas no artigo Openstack abaixo:

https://wiki.openstack.org/wiki/OSSN/OSSN-0086

Versões afetadas

2.x, 3.x

Correção feita na versão

N/D

Affected Products

PowerFlex Software, VxFlex Product Family, VxFlex Ready Node, Ready Node Series
Article Properties
Article Number: 000203257
Article Type: Solution
Last Modified: 18 Feb 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.