PT-2020-12314 · Dell+3 · Dell Emc Scaleio+4
David Hill
+1
·
Publicado
2020-06-10
·
Atualizado
2022-05-24
·
CVE-2020-10755
CVSS v4.0
7.1
Alta
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do openstack-cinder anteriores à 14.1.0
Versões do openstack-cinder 15.x.x anteriores à 15.2.0
Versões do openstack-cinder 16.x.x anteriores à 16.1.0
Descrição
Foi encontrada uma falha de credenciais inseguras no openstack-cinder quando usado com o driver de armazenamento backend Dell EMC ScaleIO ou VxFlex OS. As credenciais de todo o backend são expostas no elemento
connection info em todas as chamadas da API Block Storage v3 Attachments que contenham esse elemento. Isso permite que um usuário final crie um volume, faça uma chamada de API para exibir as informações detalhadas do anexo e recupere um nome de usuário e uma senha que podem ser usados para se conectar ao volume de outro usuário. Além disso, essas credenciais são válidas para a API de gerenciamento do ScaleIO ou do VxFlex OS, caso um invasor descubra o endpoint da API de gerenciamento.Recomendações
Para versões do openstack-cinder anteriores à 14.1.0, atualize para a versão 14.1.0 ou posterior.
Para versões do openstack-cinder 15.x.x anteriores à 15.2.0, atualize para a versão 15.2.0 ou posterior.
Para versões do openstack-cinder 16.x.x anteriores à 16.1.0, atualize para a versão 16.1.0 ou posterior.
Como solução alternativa temporária, considere restringir o acesso ao elemento
connection info nas chamadas da API de anexos do Block Storage v3 para minimizar o risco de exploração.Correção
Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Dell Emc Scaleio
Linuxmint
Ubuntu
Vxflex Os
Openstack Cinder