发行说明, 2013.2.1

2013.2.1 版本是 OpenStack Compute (Nova)、OpenStack Identity (Keystone)、OpenStack Image Registry and Delivery Service (Glance)、OpenStack Networking (Neutron)、OpenStack Block Storage (Cinder)、OpenStack Dashboard (Horizon)、OpenStack Orchestration (Heat) 和 OpenStack Telemetry (Ceilometer) 的 Havana 漏洞修复更新。

此版本中包含的错误修复是从开发分支回移植到 稳定分支 的。该版本旨在成为一个相对无风险的更新，不包含有意引入的回归或 API 变更。

已解决的安全问题

OpenStack Compute (Nova)

• OSSA 2013-029 / CVE-2013-4463 CVE-2013-4469 - 通过压缩磁盘镜像可能导致 Nova 服务拒绝服务
• OSSA 2013-033 / CVE-2013-6419 - Neutron 向 Nova 的元数据查询未按租户限制

OpenStack Identity (Keystone)

• OSSA 2013-028/CVE-2013-4477 - 使用 Keystone LDAP 后端时，意外授予角色
• OSSA 2013-032/CVE-2013-6391 - 通过 EC2 样式的令牌绕过 Keystone 信任

OpenStack Networking (Neutron)

• OSSA 2013-033 / CVE-2013-6419 - Neutron 向 Nova 的元数据查询未按租户限制

OpenStack Dashboard (Horizon)

• OSSA 2013-036 / CVE-2013-6458 - Horizon 中实例名称的消毒不足

OpenStack Orchestration (Heat)

• OSSA 2013-034 / CVE-2013-6426 - Heat CFN 策略规则并非全部强制执行
• OSSA 2013-035 / CVE-2013-6428 - Heat REST API 不遵守租户范围

OpenStack Telemetry (Ceilometer)

• OSSA 2013-031/CVE-2013-6384 - Ceilometer DB2/MongoDB 后端密码泄露

已修复的错误

总共，136 个 Launchpad 漏洞通过此更新得到修复。

• 2013.2.1 版本中修复的 OpenStack Compute (Nova) 漏洞列表
• 2013.2.1 版本中修复的 OpenStack Identity (Keystone) 漏洞列表
• 2013.2.1 版本中修复的 OpenStack Image Registry and Delivery Service (Glance) 漏洞列表
• 2013.2.1 版本中修复的 OpenStack Networking (Neutron) 漏洞列表
• 2013.2.1 版本中修复的 OpenStack Block Storage (Cinder) 漏洞列表
• 2013.2.1 版本中修复的 OpenStack Dashboard (Horizon) 漏洞列表
• 2013.2.1 版本中修复的 OpenStack Orchestration (Heat) 漏洞列表
• 2013.2.1 版本中修复的 OpenStack Telemetry (Ceilometer) 漏洞列表

已知问题和限制

修复 CVE-2013-6419 的补丁需要同时对 Neutron 和 Nova 进行补丁，以确保服务之间的元数据请求受到租户的限制。为了避免升级过程中元数据服务的中断，建议先升级 Neutron 并重启 neutron-metadata-agent，然后再升级 Nova。