OSSN/OSSN-0016

在 Grizzly 版本中，Cinder 擦除失败存在安全隐患

总结

Cinder 在 Grizzly 版本中配置错误可能导致无法安全擦除卷，从而可能允许用户恢复其他用户的数据。

受影响的服务 / 软件

Cinder, Grizzly

讨论

在 Grizzly 版本的 Cinder 中，添加了一种可配置的方法来执行卷的安全擦除。如果配置错误，将不会执行安全擦除。

Cinder 的 clear_volume() 方法中的默认代码路径（在配置错误时执行），会导致不擦除卷 - 即使用户已标记该卷进行擦除也是如此。

这与选择 volume_clear = ‘none’ 选项时的行为相同。这可能允许攻击者从本应安全擦除的卷中恢复数据。可能的错误配置选项示例包括看起来会产生安全擦除效果的值，例如 “volume_clear = true” 或 “volume_clear = yes”。

如果发生导致此问题的配置错误，日志文件中应存在消息“Error unrecognized volume_clear option”。

建议的操作

- 创建并擦除一个卷 (cinder create --display_name erasetest 10; cinder delete erasetest) - 检查日志文件是否存在上述错误消息 (grep “Error unrecognized volume_clear option” <logfile>) - 检查配置文件，以确保指定了有效的选项 ‘zero’ 或 ‘shred’。

联系方式 / 参考文献

• 作者：Doug Chivers, HP
• 此 OSSN：https://wiki.openstack.org/wiki/OSSN/OSSN-0016
• 原始 LaunchPad Bug：https://bugs.launchpad.net/cinder/+bug/1322766
• OpenStack Security ML：openstack-security@lists.openstack.org
• OpenStack Security Group：https://launchpad.net/~openstack-ossg