Уразливість OpenStack-Cinder: Неналежне поводження з обліковими даними сервера PowerFlex (CVE-2020-10755)

Summary: Ця вразливість безпеки присутня при використанні Cinder з сервером зберігання даних PowerFlex.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Ця вразливість безпеки застосовується лише під час використання сервера PowerFlex із Cinder. Це не вплине на інших водіїв.

Cause

При використанні Cinder з драйвером серверного сховища Dell EMC ScaleIO, облікові дані для всього сервера відображаються в елементі ''connection_info' у всіх API-викликах API Block Storage v3 Attachments, що містять цей елемент. Це дає змогу кінцевому користувачеві створити том, здійснити виклик API, щоб відобразити інформацію про вкладення, а також отримати ім'я користувача та пароль, які можуть використовуватися для підключення до тому іншого користувача. Крім того, ці облікові дані дійсні для ScaleIO Management API, якщо зловмисник виявить кінцеву точку Management API.

Resolution

Спосіб вирішення проблеми

Застосуйте рекомендовані дії в статті Openstack нижче:

https://wiki.openstack.org/wiki/OSSN/OSSN-0086

Версії, на які це вплинуло

2.х, 3.х

Виправлено у версії

Н/Д

Affected Products

PowerFlex Software, VxFlex Product Family, VxFlex Ready Node, Ready Node Series
Article Properties
Article Number: 000203257
Article Type: Solution
Last Modified: 18 Feb 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.