Eric Harney

**Nome do software vulnerável e versões afetadas** Versões do openstack-cinder anteriores à 14.1.0 Versões do openstack-cinder 15.x.x anteriores à 15.2.0 Versões do openstack-cinder 16.x.x anteriores à 16.1.0 **Descrição** Foi encontrada uma falha de credenciais inseguras no openstack-cinder quando usado com o driver de armazenamento backend Dell EMC ScaleIO ou VxFlex OS. As credenciais de todo o backend são expostas no elemento `connection info` em todas as chamadas da API Block Storage v3 Attachments que contenham esse elemento. Isso permite que um usuário final crie um volume, faça uma chamada de API para exibir as informações detalhadas do anexo e recupere um nome de usuário e uma senha que podem ser usados para se conectar ao volume de outro usuário. Além disso, essas credenciais são válidas para a API de gerenciamento do ScaleIO ou do VxFlex OS, caso um invasor descubra o endpoint da API de gerenciamento. **Recomendações** Para versões do openstack-cinder anteriores à 14.1.0, atualize para a versão 14.1.0 ou posterior. Para versões do openstack-cinder 15.x.x anteriores à 15.2.0, atualize para a versão 15.2.0 ou posterior. Para versões do openstack-cinder 16.x.x anteriores à 16.1.0, atualize para a versão 16.1.0 ou posterior. Como solução alternativa temporária, considere restringir o acesso ao elemento `connection info` nas chamadas da API de anexos do Block Storage v3 para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** OpenStack Image Service (Glance) versions 2015.1.x before 2015.1.2 (kilo) **Description** The issue allows remote authenticated users to read arbitrary files via a crafted backing file for a qcow2 image when using the V2 API. **Recommendations** For OpenStack Image Service (Glance) versions 2015.1.x before 2015.1.2 (kilo), update to version 2015.1.2 or later to resolve the issue.