OSSN/OSSN-0085

Cinder 配置选项可能泄露 Ceph 后端的密钥

总结

此漏洞仅在 Cinder 具有 Ceph 后端并且 Cinder 配置文件中的 ``rbd_keyring_conf`` 选项已设置时才存在。（该选项默认未设置。）在这种情况下，密钥内容可能会泄露给普通用户。

受影响的服务 / 软件

Cinder, Pike, Queens, Rocky, Stein, Train, Ussuri

讨论

当设置 ``rbd_keyring_conf`` 选项时，创建卷并通过 Cinder REST API 对该卷进行本地挂载的用户，可能会发现 Ceph 集群的密钥内容。（这不适用于正常的 Nova 挂载过程。用户必须直接联系 Cinder REST API 才能利用此漏洞。）

如果该用户随后独立于 Cinder 访问 Ceph 集群，则可以使用这些凭据访问集群中的任何卷。

此问题由 OVH 的 Raphael Glon 报告。

注意：此问题与 OSSA-2019-003 不同，后者是在错误情况下，Ceph 凭据可能会从 Nova REST API 泄露，但我们建议您借此机会查看该安全公告，并确保您的系统已更新或修补以解决该问题： https://security.openstack.org/ossa/OSSA-2019-003.html

建议的操作

任何当前正在使用 ``rbd_keyring_conf`` 选项的安装都应立即停止使用该选项。为了使 Cinder 备份继续工作，Ceph 密钥应该直接部署在 cinder-backup 主机上的标准位置

   /etc/ceph/<cluster_name>.client.<user_name>.keyring

``rbd_keyring_conf`` 在 Ussuri 版本中已被弃用，并且将在 'V' 开发周期早期被移除。目前没有为此功能计划替代方案。

联系方式 / 参考文献

作者：Brian Rosmaita, Red Hat

此 OSSN： https://wiki.openstack.org/wiki/OSSN/OSSN-0085

原始 LaunchPad Bug： https://bugs.launchpad.net/cinder/+bug/1849624

邮件列表：[Security] 标签在 openstack-discuss@lists.openstack.org 上

OpenStack 安全项目：https://launchpad.net/~openstack-ossg