阿里云漏洞库

OpenStack Image Registry Delivery Service是OpenStack一个可存储、查询和检索虚拟机镜像的项目。

OpenStack Image Registry Delivery Service 2014.1.4之前的版本，2014.2.2之前的2014.2.x版本存在任意文件操作漏洞，允许已通过身份验证的远程用户通过在文件系统中的完整路径名：图片位置属性中的URL读取或删除任意文件。

用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞：http://www.openwall.com/lists/oss-security/2015/01/18/5

参考链接
http://lists.openstack.org/pipermail/openstack-announce/2015-January/000325.html
http://secunia.com/advisories/62169
http://www.openwall.com/lists/oss-security/2015/01/15/2
http://www.openwall.com/lists/oss-security/2015/01/18/5
http://www.oracle.com/technetwork/topics/security/bulletinapr2015-2511959.html
http://www.securityfocus.com/bid/71976
https://bugs.launchpad.net/ossa/+bug/1408663

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	openstack	image_registry_and_delivery_service_(glance)	*	From (including) 2014.1	Up to (excluding) 2014.1.4
	运行在以下环境
	应用	openstack	image_registry_and_delivery_service_(glance)	*	From (including) 2014.2	Up to (excluding) 2014.2.2
	运行在以下环境
	系统	debian	DPKG	*		Up to (excluding) 2014.1.3-11
	运行在以下环境
	系统	debian_10	glance	*		Up to (excluding) 2014.1.3-11
	运行在以下环境
	系统	debian_11	glance	*		Up to (excluding) 2014.1.3-11
	运行在以下环境
	系统	debian_12	glance	*		Up to (excluding) 2014.1.3-11
	运行在以下环境
	系统	ubuntu_14.04.6_lts	glance	*		Up to (excluding) 1:2014.1.4-0ubuntu1

CWE-ID	漏洞类型
CWE-22	对路径名的限制不恰当（路径遍历）