PT-2021-22236 · Openstack+3 · Openstack Neutron+3
Jake Yip
+1
·
Publicado
2021-08-23
·
Atualizado
2024-08-07
·
CVE-2021-38598
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do OpenStack Neutron anteriores à 16.4.1
Versões do OpenStack Neutron 17.x anteriores à 17.1.3
OpenStack Neutron versão 18.0.0
Descrição
A vulnerabilidade permite a falsificação de endereços de hardware quando o driver linuxbridge com ebtables-nft é utilizado em uma plataforma baseada em Netfilter. Ao enviar pacotes cuidadosamente criados, qualquer pessoa que controle uma instância de servidor conectada ao switch virtual pode falsificar os endereços de hardware de outros sistemas na rede, resultando em negação de serviço ou, em alguns casos, possivelmente na interceptação de tráfego destinado a outros destinos.
Recomendações
Para versões do OpenStack Neutron anteriores à 16.4.1, atualize para a versão 16.4.1 ou posterior.
Para versões do OpenStack Neutron 17.x anteriores à 17.1.3, atualize para a versão 17.1.3 ou posterior.
Para a versão 18.0.0 do OpenStack Neutron, atualize para uma versão posterior à 18.0.0.
Como solução alternativa temporária, considere restringir o acesso ao switch virtual para minimizar o risco de exploração.
Exploit
Correção
DoS
Authentication Bypass by Spoofing
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Linuxmint
Openstack Neutron
Ubuntu