发行说明，2013.1.5

2013.1.5 版本是 OpenStack Compute (Nova)、OpenStack Identity (Keystone)、OpenStack Image Registry and Delivery Service (Glance)、OpenStack Networking、OpenStack Block Storage (Cinder) 和 OpenStack Dashboard (Horizon) 的 Grizzly 错误修复更新。这些项目的 Grizzly 版本将不再发布官方版本。

此版本包含的错误修复是从开发分支回移植到 稳定分支 的。该版本旨在成为低风险更新，不包含有意引入的回归或 API 变更。

已解决的安全问题

OpenStack Compute (Nova)

• OSSA 2013-029 / CVE-2013-4463 CVE-2013-4469 - 通过压缩磁盘镜像可能导致 Nova 服务拒绝服务
• OSSA 2013-030 / CVE-2013-4497 - XenAPI 安全组在迁移或调整大小后未保留
• OSSA 2013-033 / CVE-2013-6419 - Neutron 到 Nova 的元数据查询未按租户限制
• OSSA 2013-037 / CVE-2013-6437 - Nova 计算服务通过临时磁盘备份文件导致拒绝服务
• OSSA 2014-001 / CVE-2013-7048 - Nova 实时快照使用不安全的本地目录
• OSSA 2014-003 / CVE-2013-7130 - 实时迁移可能将根磁盘泄漏到临时存储

OpenStack Identity (Keystone)

• OSSA 2013-028/CVE-2013-4477 - 使用 Keystone LDAP 后端时，意外授予角色
• OSSA 2013-032/CVE-2013-6391 - 通过 EC2 样式的令牌绕过 Keystone 信任
• OSSA 2014-006/CVE-2014-2237 - 使用 memcache 后端时，受托人令牌撤销不起作用

OpenStack Networking

• OSSA 2013-033 / CVE-2013-6419 - Neutron 到 Nova 的元数据查询未按租户限制

OpenStack Dashboard (Horizon)

• OSSA 2013-036 / CVE-2013-6458 - Horizon 中实例名称的消毒不足

已修复的错误

总共，此更新修复了 44 个 Launchpad 错误。

• 2013.1.5 版本中修复的 OpenStack Compute (Nova) 错误列表
• 2013.1.5 版本中修复的 OpenStack Identity (Keystone) 错误列表
• 2013.1.5 版本中修复的 OpenStack Image Registry and Delivery Service (Glance) 错误列表
• 2013.1.5 版本中修复的 OpenStack Networking 错误列表
• 2013.1.5 版本中修复的 OpenStack Block Storage (Cinder) 错误列表
• 2013.1.5 版本中修复的 OpenStack Dashboard (Horizon) 错误列表

已知问题和限制

修复 CVE-2013-6419 需要同时对 OpenStack Networking 和 Nova 进行补丁，以确保服务之间的元数据请求受到租户的限制。为了避免升级过程中元数据服务的中断，建议先升级 OpenStack Networking 并重启 quantum-metadata-agent，然后再升级 Nova。