阿里云漏洞库

低危 OpenStack Cinder/Nova/Trove本地密码泄露漏洞（CNVD-2014-06589）

CVE编号

CVE-2014-7230

利用情况

暂无

补丁情况

官方补丁

披露时间

2014-10-09

漏洞描述

OpenStack是由Rackspace和NASA共同开发的云计算平台,帮助服务商和企业内部实现类似于Amazon EC2和S3的云基础架构。

OpenStack Cinder/Nova/Trove processutils.execute()函数存在本地密码泄露漏洞，允许攻击者利用漏洞获取敏感密码信息。

解决建议

用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞：
https://git.openstack.org/cgit/openstack/trove/commit/?id=9672744f090d462cac5eb757ceaacd7122362708

参考链接
http://rhn.redhat.com/errata/RHSA-2014-1939.html
http://seclists.org/oss-sec/2014/q3/853
http://www.securityfocus.com/bid/70185
http://www.ubuntu.com/usn/USN-2405-1
https://bugs.launchpad.net/oslo-incubator/+bug/1343604
https://exchange.xforce.ibmcloud.com/vulnerabilities/96725

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	openstack	cinder	*	From (including) 2013.2	Up to (excluding) 2013.2.4
	运行在以下环境
	应用	openstack	cinder	*	From (including) 2014.1	Up to (excluding) 2014.1.3
	运行在以下环境
	应用	openstack	nova	*	From (including) 2013.2	Up to (excluding) 2013.2.4
	运行在以下环境
	应用	openstack	nova	*	From (including) 2014.1	Up to (excluding) 2014.1.3
	运行在以下环境
	应用	openstack	trove	*	From (including) 2013.2	Up to (excluding) 2013.2.4
	运行在以下环境
	应用	openstack	trove	*	From (including) 2014.1	Up to (excluding) 2014.1.3
	运行在以下环境
	应用	redhat	openstack	5.0	-
	运行在以下环境
	系统	debian	DPKG	*		Up to (excluding) 2014.1.3-4
	运行在以下环境
	系统	debian_10	cinder	*		Up to (excluding) 2014.1.3-4
	运行在以下环境
	系统	debian_11	cinder	*		Up to (excluding) 2014.1.3-4
	运行在以下环境
	系统	debian_12	cinder	*		Up to (excluding) 2014.1.3-4
	运行在以下环境
	系统	ubuntu_14.04	nova	*		Up to (excluding) 1:2014.1.3-0ubuntu1
	运行在以下环境
	系统	ubuntu_14.04.6_lts	cinder	*		Up to (excluding) 1:2014.1.3-0ubuntu1
	运行在以下环境
	系统	ubuntu_16.04.7_lts	cinder	*		Up to (excluding) 1:2014.2~rc2-0ubuntu1
	运行在以下环境
	系统	ubuntu_18.04.5_lts	cinder	*		Up to (excluding) 1:2014.2~rc2-0ubuntu1
	运行在以下环境
	系统	ubuntu_18.10	cinder	*		Up to (excluding) 1:2014.2~rc2-0ubuntu1

攻击路径

本地
攻击复杂度

困难
权限要求

普通权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

-

CWE-ID	漏洞类型
CWE-200	信息暴露