OSSN/OSSN-0073

Horizon 仪表盘通过 Cookie 泄露内部信息

总结

当配置 Horizon 时，其 URL 包含 Keystone 内部 URL 的 IP 地址，因为身份服务默认值为“internalURL”。[1]

Cookie “login_region” 将被设置为在 local_settings.py 文件中配置的 OPENSTACK_KEYSTONE_URL 的值。

通常，`OPENSTACK_KEYSTONE_URL` 是 publicURL，因此 Cookie URL 也会是公共 URL。如果设置为内部 URL（默认情况下），则登录 Cookie URL 将是内部 URL 或 IP。因此，通过将 `OPENSTACK_KEYSTONE_URL` 放入发送到公共网络的 Cookie 中，Horizon 会泄露内部网络 IP 地址的值。

受影响的服务 / 软件

Horizon

讨论

这并非 Horizon 中的错误，而是一个可能的错误配置问题。

暴露内部 URL 本身不是一个错误，因为可以将其视为授权用户可以自由访问的端点，或者它隐藏在防火墙之后。此外，内部 URL 的数据在目录中是可自由获得的，并且目录不被认为是私有信息。

联系方式 / 参考文献

作者：Khanak Nangia, Intel

此 OSSN：https://wiki.openstack.org/wiki/OSSN/OSSN-0073

原始 LaunchPad Bug：https://bugs.launchpad.net/ossn/+bug/1585831

相关 Bug：https://bugs.launchpad.net/horizon/+bug/1597864

OpenStack Security ML：openstack-dev@lists.openstack.org

OpenStack Security Group：https://launchpad.net/~openstack-ossg

[1]: https://docs.openstack.org/developer/horizon/topics/settings.html