OSSN/OSSN-0084

ScaleIO 卷删除后残留数据

总结

某些存储卷配置可能导致新创建的卷包含之前的数据。这可能导致敏感信息在租户之间泄露。

受影响的服务 / 软件

Cinder 版本直至 Queens（含）使用 ScaleIO 卷的薄卷和零填充。

讨论

同时使用薄卷和零填充并不能保证卷中包含的数据被实际删除。默认卷配置规则设置为厚卷，因此大多数安装可能不受影响。操作员可以在 `cinder.conf` 中检查其配置，或使用此命令 `scli --query_all` 检查零填充。

建议的操作

在 Rocky 版本发布之前（计划于 2018 年 8 月 30 日发布，该版本将解决此问题），操作员可以使用以下两种解决方法。

1. 切换到厚卷

2. 确保 ScaleIO 存储池使用零填充

   scli --modify_zero_padding_policy
   (((--protection_domain_id <ID> |
   --protection_domain_name <NAME>)
   --storage_pool_name <NAME>) | --storage_pool_id <ID>)
   (--enable_zero_padding | --disable_zero_padding)`

联系方式 / 参考文献

作者：Nick Tait

此 OSSN：https://wiki.openstack.org/wiki/OSSN/OSSN-0084

原始 LaunchPad Bug：https://bugs.launchpad.net/ossn/+bug/1699573

邮件列表：[Security] 标签在 openstack-dev@lists.openstack.org 上

OpenStack 安全项目：https://launchpad.net/~openstack-ossg