OSSN/OSSN-0063

Nova 和 Cinder 的 Barbican 密钥管理器错误使用缓存凭证

总结

在 Icehouse 版本发布期间，Cinder 和 Nova 项目添加了一个功能，支持使用存储在 Barbican 中的密钥进行存储卷加密。Nova 和 Cinder 中 Barbican 密钥管理器存在一个错误，可能导致授权用户无法访问加密密钥，或者允许错误的用户访问加密密钥。

受影响的服务 / 软件

Cinder: Icehouse, Juno, Kilo, Liberty Nova: Juno, Kilo, Liberty

讨论

Barbican 密钥管理器是 Nova 和 Cinder 的一个功能，允许这两个项目在 Barbican 中创建和检索密钥。该密钥管理器包括一个缓存功能，允许 copy_key() 操作在仅使用 Keystone 验证令牌一次的情况下工作。

这个缓存功能存在一个错误，即缓存的令牌被用于令牌不再有效的情况下。此错误的症状各不相同，但包括用户无法访问其密钥或错误的用户能够访问密钥。

受影响的用户会在 cinder 日志中看到类似以下的错误

 2015-12-03 09:09:03.648 TRACE cinder.volume.api Unauthorized: The
 request you have made requires authentication. (Disable debug mode to
 suppress these details.) (HTTP 401) (Request-ID:
 req-d2c52e0b-c16d-43ec-a7a0-7611113f1270)

建议的操作

希望使用 Barbican 密钥管理器为 Nova 和 Cinder 提供卷加密密钥的用户应确保他们使用的是已打补丁的版本。

Nova 和 Cinder 的 Mitaka 版本已合并修复规范。此外，这些补丁已回移植到 stable/kilo 和 stable/liberty。

联系方式 / 参考文献

• 作者：Dave McCowan, Cisco
• 此 OSSN：https://wiki.openstack.org/wiki/OSSN/OSSN-0063
• 原始 LaunchPad Bug：https://bugs.launchpad.net/glance/+bug/1523646
• OpenStack Security ML：openstack-security@lists.openstack.org
• OpenStack Security Group：https://launchpad.net/~openstack-ossg
• Mitaka 版本的 Nova 补丁：https://review.openstack.org/254358/
• stable/liberty 版本的 Nova 补丁：https://review.openstack.org/288490
• Mitaka 版本的 Cinder 补丁：https://review.openstack.org/254357/
• stable/liberty 版本的 Cinder 补丁：https://review.openstack.org/266678
• stable/kilo 版本的 Cinder 补丁：https://review.openstack.org/266680
• CVE：N/A