OSSN/OSSN-0093

MuranoPL 中的不安全环境处理

总结

Murano 服务中的 MuranoPL 扩展未能对提供的环境进行清理，导致潜在的服务账户敏感信息泄露。Murano 是一个非活跃项目，目前没有针对此漏洞的修复计划。强烈建议在最早的时候禁用或完全删除已安装的 Murano，以避免潜在风险。

受影响的服务 / 软件

Murano（所有版本）

讨论

YAQL 解释器项目发布了一个新的主要版本 (3.0.0)，该版本移除了对格式字符串的支持，这是利用 MuranoPL 中此条件所必需的功能。由于 Murano 在 OpenStack 中不再被视为处于积极维护状态，因此仍然强烈建议将其从所有部署中完全删除。

请注意，YAQL 中的此行为更改意味着依赖字符串格式化的配置在升级后将不再以相同的方式解释，这可能会导致它们无法按用户的预期工作，从而影响接受 YAQL 的服务（包括 Heat 和 Mistral）。依赖该功能的情况被认为是罕见的，但应告知用户，以防对其配置产生负面影响。

建议的操作

在最早的时候禁用 Murano 服务，或将其从所有 OpenStack 部署中完全删除。

鸣谢

来自桑福安全研究团队的 kirualawliet 和 Peng Zhiniang (@edwardzpeng)

联系方式 / 参考文献

作者

• Jeremy Stanley，OpenStack 漏洞协调员

此 OSSN： https://wiki.openstack.org/wiki/OSSN/OSSN-0093

原始 LaunchPad Bug： https://launchpad.net/bugs/2048114

邮件列表： [security-sig] openstack-discuss@lists.openstack.org

CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-29156