OpenStack-Cinder Güvenlik Açığı: PowerFlex Arka Uç Kimlik Bilgilerinin Yanlış Kullanımı (CVE-2020-10755)

Summary: Bu güvenlik açığı, PowerFlex depolama arka ucuyla Cinder kullanılırken mevcuttur.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Bu güvenlik açığı yalnızca Cinder ile PowerFlex Arka Uç kullanılırken geçerlidir. Diğer sürücüler etkilenmez.

Cause

Cinder'ı Dell EMC ScaleIO arka uç depolama sürücüsü ile kullanırken arka ucun tamamına ait kimlik bilgileri, bu öğeyi içeren tüm Blok Depolama v3 Ekleri API çağrılarındaki "connection_info" öğesinde gösterilir. Bu, son kullanıcının bir disk bölümü oluşturmasına, ek ayrıntılarıyla ilgili bilgileri göstermek için API çağrısı yapmasına ve başka bir kullanıcının disk bölümüne bağlanmak için kullanılan bir kullanıcı adı ve parola almasına olanak tanır. Ayrıca, bir saldırganın Yönetim API'si uç noktasını keşfetmesi durumunda bu kimlik bilgileri ScaleIO Yönetim API'si için de geçerlidir.

Resolution

Geçici Çözüm

Aşağıdaki Openstack makalesinde önerilen eylemleri uygulayın:

https://wiki.openstack.org/wiki/OSSN/OSSN-0086

Etkilenen Sürümler

2.x, 3.x

Düzeltildiği Sürüm

Yok

Affected Products

PowerFlex Software, VxFlex Product Family, VxFlex Ready Node, Ready Node Series
Article Properties
Article Number: 000203257
Article Type: Solution
Last Modified: 18 Feb 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.