OSSN/1155566

建议限制 HTTP POST 请求，以避免 Essex/Folsom Keystone DoS 攻击

总结

带有大消息体的并发 Keystone POST 请求在内存中被持有，没有进行过滤或速率限制，这可能导致 Keystone 服务器资源耗尽。

受影响的服务 / 软件

Keystone, 数据库

讨论

Keystone 在验证之前将 POST 消息存储在内存中，并发提交多个大型 POST 消息可能导致 Keystone 进程因内存耗尽而被杀死，从而导致远程拒绝服务攻击。

在许多情况下，Keystone 将部署在负载均衡器或代理服务器之后，这些服务器可以限制进入 Keystone 的 POST 消息的速率。Grizzly 通过 sizelimit 中间件受到保护。

建议的操作

如果您处于 Keystone 直接暴露于传入 POST 消息且未受 sizelimit 中间件保护的情况，则有多种负载均衡/代理选项，我们建议您考虑以下选项之一：

Nginx：开源、高性能 HTTP 服务器和反向代理

• Nginx 配置： http://wiki.nginx.org/HttpCoreModule#client_max_body_size

Apache：HTTP 服务器项目

• Apache 配置： https://httpd.apache.org/docs/2.4/mod/core.html#limitrequestbody

联系方式 / 参考文献

• 作者：Robert Clark, HP
• 此 OSSN 漏洞： https://bugs.launchpad.net/ossn/+bug/1155566
• 原始 LaunchPad 漏洞： https://bugs.launchpad.net/keystone/+bug/1098177
• OpenStack Security ML：openstack-security@lists.openstack.org
• OpenStack Security Group：https://launchpad.net/~openstack-ossg