PT-2020-7914 · Openstack+3 · Openstack Nova+3
Paul Carlton
·
Publicado
2020-02-19
·
Atualizado
2024-08-02
·
CVE-2015-9543
CVSS v3.1
3.3
Baixa
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
**Nome do software vulnerável e versões afetadas:
Versões do OpenStack Nova anteriores à 18.2.4
Versões do OpenStack Nova 19.x anteriores à 19.1.0
Versões do OpenStack Nova 20.x anteriores à 20.1.0
Descrição:
A falha pode vazar tokens de consoleauth para arquivos de log, permitindo que um invasor com acesso de leitura aos logs do serviço obtenha tokens usados para acesso ao console. Todas as configurações do Nova que utilizam o novncproxy são afetadas. Isso está relacionado à função
NovaProxyRequestHandlerBase.new websocket client em console/websocketproxy.py.Recomendações:
Para versões do OpenStack Nova anteriores à 18.2.4, atualize para a versão 18.2.4 ou posterior.
Para versões do OpenStack Nova 19.x anteriores à 19.1.0, atualize para a versão 19.1.0 ou posterior.
Para versões do OpenStack Nova 20.x anteriores à 20.1.0, atualize para a versão 20.1.0 ou posterior.
Como solução temporária, considere restringir o acesso aos arquivos de log para minimizar o risco de exploração.
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Linuxmint
Openstack Nova
Ubuntu