Openstack · Openstack Glance · CVE-2024-32498
**Nome do software vulnerável e versões afetadas**
Versões do OpenStack Cinder até a 24.0.0
Versões do OpenStack Glance anteriores à 28.0.2
Versões do OpenStack Nova anteriores à 29.0.3
**Descrição**
Foi descoberta uma vulnerabilidade no OpenStack que permite o acesso arbitrário a arquivos por meio de dados externos QCOW2 personalizados. Ao fornecer uma imagem QCOW2 manipulada que faz referência a um caminho específico de arquivo de dados, um usuário autenticado pode induzir os sistemas a retornar uma cópia do conteúdo desse arquivo do servidor, resultando em acesso não autorizado a dados potencialmente confidenciais. Todas as implantações do Cinder e do Nova são afetadas; apenas as implantações do Glance com conversão de imagem habilitada são afetadas. Estima-se que mais de 12.500 serviços sejam potencialmente afetados.
**Recomendações**
Para versões do OpenStack Cinder até a 24.0.0, atualize para uma versão posterior à 24.0.0 para resolver a vulnerabilidade.
Para versões do OpenStack Glance anteriores à 28.0.2, atualize para a versão 28.0.2 ou posterior para resolver o problema, mas somente se a conversão de imagem estiver habilitada.
Para versões do OpenStack Nova anteriores à 29.0.3, atualize para a versão 29.0.3 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso a dados externos QCOW2 personalizados para minimizar o risco de exploração.