OSSN/OSSN-0015

Glance 允许非管理员用户创建公共镜像

总结

Glance 中的默认策略设置允许任何用户上传对所有用户公开的镜像。这可能允许恶意用户上传易受攻击的镜像，其他用户可能会使用该镜像，从而在不知情的情况下暴露自己于攻击之中。

受影响的服务 / 软件

Glance, Folsom, Grizzly, Havana, Icehouse

讨论

在将镜像上传到 Glance 时，执行上传的用户可以将镜像标记为公共镜像。这允许所有其他用户在创建新实例时查看和使用该镜像。在 OpenStack 部署中与所有用户共享镜像非常有用，但可能会被恶意利用。例如，可以上传包含后门的镜像，允许攻击者未经授权访问从该镜像创建的实例。

Glance 确实允许通过策略来控制公开镜像的能力。但是，默认策略设置允许所有用户公开镜像。

建议的操作

建议将 Glance 中公开镜像的能力限制为受信任的用户，例如具有 admin 角色的用户。可以通过修改 Glance 的 policy.json 文件中的 publicize_image 功能来实现。以下是限制此功能仅对具有 admin 角色的用户的示例

 "publicize_image": "role:admin",

计划在 OpenStack 的 Juno 版本中更改 Glance 中的默认策略设置，以限制只有具有 admin 角色的用户才能公开镜像。

联系方式 / 参考文献

• 作者：Nathan Kinder, Red Hat
• 此 OSSN： https://wiki.openstack.org/wiki/OSSN/OSSN-0015
• 原始 LaunchPad Bug： https://bugs.launchpad.net/glance/+bug/1313746
• OpenStack Security ML：openstack-security@lists.openstack.org
• OpenStack Security Group：https://launchpad.net/~openstack-ossg