Уязвимость OpenStack-Cinder: Неправильная обработка внутренних учетных данных PowerFlex (CVE-2020-10755)

Summary: Эта уязвимость безопасности присутствует при использовании Cinder с внутренним хранилищем PowerFlex.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Эта уязвимость безопасности применяется только при использовании внутреннего сервера PowerFlex с Cinder. Другие драйверы не затронуты.

Cause

При использовании Cinder с драйвером внутреннего хранилища Dell EMC ScaleIO учетные данные для всей серверной части предоставляются в элементе ''connection_info'' во всех вызовах API вложений блочного хранилища v3, содержащих этот элемент. Это позволяет конечному пользователю создать том, выполнить вызов API для отображения сведений о вложении, а также получить имя пользователя и пароль, которые могут использоваться для подключения к тому другого пользователя. Кроме того, эти учетные данные действительны для API управления ScaleIO, если злоумышленник обнаружит конечную точку API управления.

Resolution

Временное решение

Примените действия, рекомендуемые в статье Openstack ниже:

https://wiki.openstack.org/wiki/OSSN/OSSN-0086

Затронутые версии

2.x, 3.x

Исправлено в версии

-

Affected Products

PowerFlex Software, VxFlex Product Family, VxFlex Ready Node, Ready Node Series
Article Properties
Article Number: 000203257
Article Type: Solution
Last Modified: 18 Feb 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.