PT-2024-24616 · Openstack+2 · Openstack Glance+4
Martin Kaesberger
·
Publicado
2024-07-02
·
Atualizado
2026-04-22
·
CVE-2024-32498
CVSS v4.0
7.1
Alta
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do OpenStack Cinder até a 24.0.0
Versões do OpenStack Glance anteriores à 28.0.2
Versões do OpenStack Nova anteriores à 29.0.3
Descrição
Foi descoberta uma vulnerabilidade no OpenStack que permite o acesso arbitrário a arquivos por meio de dados externos QCOW2 personalizados. Ao fornecer uma imagem QCOW2 manipulada que faz referência a um caminho específico de arquivo de dados, um usuário autenticado pode induzir os sistemas a retornar uma cópia do conteúdo desse arquivo do servidor, resultando em acesso não autorizado a dados potencialmente confidenciais. Todas as implantações do Cinder e do Nova são afetadas; apenas as implantações do Glance com conversão de imagem habilitada são afetadas. Estima-se que mais de 12.500 serviços sejam potencialmente afetados.
Recomendações
Para versões do OpenStack Cinder até a 24.0.0, atualize para uma versão posterior à 24.0.0 para resolver a vulnerabilidade.
Para versões do OpenStack Glance anteriores à 28.0.2, atualize para a versão 28.0.2 ou posterior para resolver o problema, mas somente se a conversão de imagem estiver habilitada.
Para versões do OpenStack Nova anteriores à 29.0.3, atualize para a versão 29.0.3 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso a dados externos QCOW2 personalizados para minimizar o risco de exploração.
Correção
Information Disclosure
Files Accessible to External Parties
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Linuxmint
Openstack Cinder
Openstack Glance
Openstack Nova
Ubuntu