OpenStack-Cinder-sårbarhet: Felaktig hantering av inloggningsuppgifter för PowerFlex-backend (CVE-2020-10755)

Summary: Denna säkerhetsrisk uppstår när du använder Cinder med PowerFlex lagringsbackend.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Denna säkerhetsrisk gäller endast när du använder en PowerFlex-backend med Cinder. Andra drivrutiner påverkas inte.

Cause

När du använder Cinder med Dell EMC ScaleIO-lagringsdrivrutinen för backend visas inloggningsuppgifterna för hela backend i elementet "connection_info" i alla API-anrop för Block Storage v3-bilagor som innehåller det elementet. Detta gör det möjligt för en slutanvändare att skapa en volym, göra ett API-anrop för att visa information om bifogade filer och hämta ett användarnamn och lösenord som kan användas för att ansluta till en annan användares volym. Dessutom är dessa autentiseringsuppgifter giltiga för ScaleIO Management API om en angripare skulle identifiera Management API-slutpunkten.

Resolution

Alternativ lösning

Tillämpa de rekommenderade åtgärderna i Openstack-artikeln nedan:

https://wiki.openstack.org/wiki/OSSN/OSSN-0086

Versioner som påverkas

2.x, 3.x

Åtgärdat i version

Ej tillämpligt

Affected Products

PowerFlex Software, VxFlex Product Family, VxFlex Ready Node, Ready Node Series
Article Properties
Article Number: 000203257
Article Type: Solution
Last Modified: 18 Feb 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.