OpenStack Swift-on-File Pickle Python Module 代码注入漏洞

CVE编号

CVE-2015-5242

利用情况

暂无

补丁情况

N/A

披露时间

2015-11-26
漏洞描述
OpenStack是一个NASA和Rackspace合作研发的开源项目,旨在为公共及私有云的建设与管理提供软件。

OpenStack Swift-on-File存在任意代码执行漏洞,允许已通过身份验证的远程用户通过精心编制的扩展属性(xattrs)执行任意代码。
解决建议
用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:
https://review.openstack.org/#/c/237994/
参考链接
http://rhn.redhat.com/errata/RHSA-2015-1918.html
https://access.redhat.com/solutions/1985893
https://bugzilla.redhat.com/show_bug.cgi?id=1258743
https://review.openstack.org/#/c/237994/
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 redhat gluster_storage 3.1 -
CVSS3评分
6.0
  • 攻击路径
    网络
  • 攻击复杂度
    N/A
  • 权限要求
    一次
  • 影响范围
    N/A
  • 用户交互
  • 可用性
    部分地
  • 保密性
    部分地
  • 完整性
    部分地
AV:N/AC:M/Au:S/C:P/I:P/A:P
CWE-ID 漏洞类型
CWE-94 对生成代码的控制不恰当(代码注入)
阿里云安全产品覆盖情况