跳转到: 导航, 搜索

安全说明

OpenStack 安全项目 (OSSP) 发布安全说明,以告知用户有关安全相关问题。安全说明类似于安全公告;它们解决了通常在 OpenStack 部署中使用的第三方工具中的漏洞,并提供了有关常见的配置错误(可能导致不安全的运行环境)的指导。

有关如何编写 OpenStack 安全说明的建议,请参阅 安全说明流程 文档。

已发布的安全说明

  • OSSN-0093 - Murano 中未解决的漏洞
  • OSSN-0092 - 使用配置作为 OSSA-2023-003 的短期缓解措施
  • OSSN-0091 - 在 OpenStack 社区中开发的 BMC 模拟器不会在虚拟机上保留密码
  • OSSN-0090 - 配置 Glance 与 COW 后端时的最佳实践
  • OSSN-0089 - 安全实时迁移指南中缺少配置选项导致未加密流量
  • OSSN-0088 - Glance 元数据 API 的某些部分可能会泄露资源
  • OSSN-0087 - Ceph 用户凭据泄露给 OpenStack Manila 的消费者
  • OSSN-0086 - Dell EMC ScaleIO/VxFlex OS 后端凭据暴露
  • OSSN-0085 - Cinder 配置选项可能会从 Ceph 后端泄露密钥
  • OSSN-0084 - ScaleIO 卷即使在重新格式化后也可能保留数据
  • OSSN-0083 - Keystone 策略规则 "identity:get_identity_providers" 被忽略
  • OSSN-0082 - dnsmasq 2.78 版本之前的堆栈和基于堆的缓冲区溢出
  • OSSN-0081 - 保留的 sha512_crypt 不够,请使用 pbkdf2_sha512 进行密码哈希
  • OSSN-0080 - Aodh 可用于清洗 Keystone 信任
  • OSSN-0079 - 使用旧版 libvirt/qemu 时,Ceph 凭据包含在日志中
  • OSSN-0078 - Image Service API v1 中的 copy_from 允许网络端口扫描
  • OSSN-0076 - Glance Image service v1 和 v2 api image-create 漏洞
  • OSSN-0075 - 已删除的 Glance 镜像 ID 可能会被重新分配
  • OSSN-0074 - Nova 元数据服务不应用于敏感信息
  • OSSN-0073 - Horizon 仪表板通过 cookie 泄露内部信息
  • OSSN-0070 - 1.1.0 以下版本的 Bandit 未对问题报告中的 HTML 进行转义
  • OSSN-0069 - 主机操作系统通过 IPv6 暴露给租户网络
  • OSSN-0068 - 重复的令牌撤销请求可能导致服务降级或中断
  • OSSN-0067 - Barbican 服务器通过 LOG.debug ("work in progress") 泄露 SQL 密码和 X-auth 令牌值
  • OSSN-0066 - MongoDB 来宾实例允许任何用户连接
  • OSSN-0065 - Glance 用户可能能够替换活动镜像数据
  • OSSN-0064 - Keystone 的默认配置中的 'Admin_Token' 导致不安全的操作
  • OSSN-0063 - Nova 和 Cinder 的 Barbican 密钥管理器错误地使用了缓存的凭据 (2016 年 6 月 9 日)
  • OSSN-0062 - 潜在的已撤销身份令牌重用 (2015 年 12 月 15 日)
  • OSSN-0061 - Glance 镜像签名使用不安全的哈希算法 (MD5) (2015 年 12 月 15 日)
  • OSSN-0060 - Glance 配置选项可能导致权限提升 (2016 年 1 月 25 日)
  • OSSN-0059 - 受信任的虚拟机可以在不受信任的主机上启动 (2015 年 11 月 16 日)
  • OSSN-0058 - Cinder LVMISCIDriver 允许未经身份验证的挂载卷 (2015 年 9 月 17 日)
  • OSSN-0057 - 针对 Glance 服务的 DoS 风格攻击可能导致服务中断 (2015 年 10 月 15 日)
  • OSSN-0056 - 缓存的 Keystone 令牌在撤销后可能被接受 (2015 年 9 月 17 日)
  • OSSN-0055 - 服务帐户可能具有云管理员权限 (2015 年 9 月 17 日)
  • OSSN-0054 - Horizon 登录中的潜在拒绝服务 (2015 年 9 月 17 日)
  • OSSN-0053 - Keystone 令牌泄露可能导致恶意信任创建 (2015 年 9 月 23 日)
  • OSSN-0052 - python-swiftclient 在调试日志中暴露原始令牌值 (2015 年 9 月 17 日)
  • OSSN-0049 - Nova ironic 驱动程序在调试模式下记录敏感信息 (2015 年 7 月 7 日)
  • OSSN-0048 - Glance 方法过滤在某些条件下不起作用 (2015 年 4 月 30 日)
  • OSSN-0047 - Keystone 不会验证身份提供程序是否与联合映射匹配 (2015 年 4 月 19 日)
  • OSSN-0046 - 将服务设置为调试模式也会将 Pecan 设置为调试模式 (2015 年 5 月 11 日)
  • OSSN-0045 - 易受攻击的客户端允许 TLS 协议降级 (FREAK) (2015 年 3 月 11 日)
  • OSSN-0044 - 旧版本的 noVNC 允许会话盗窃 (2015 年 3 月 2 日)
  • OSSN-0043 - glibc 'Ghost' 漏洞可能允许远程代码执行 (2015 年 2 月 5 日)
  • OSSN-0042 - Keystone 令牌范围不提供任何安全优势 (2014 年 12 月 17 日)
  • OSSN-0041 - Linux ISCSI 管理实用程序 (tgtadm) 不适用于 Cinder (正在进行中)
  • OSSN-0039 - 配置 OpenStack 部署以防止 POODLE 攻击 (2014 年 10 月 21 日)
  • OSSN-0038 - Suds 客户端容易受到本地攻击者的缓存中毒 (2014 年 12 月 17 日)
  • OSSN-0037 - 配置 Horizon 以缓解 BREACH/CRIME 攻击 (2013 年 9 月 19 日)
  • OSSN-0036 - Horizon 未在 cookie 中设置安全属性 (2013 年 9 月 19 日)
  • OSSN-0035 - Horizon 仪表板上未启用 HTTP 严格传输安全 (2013 年 9 月 19 日)
  • OSSN-0034 - 重启 memcached 会丢失已撤销的令牌列表 (2013 年 9 月 19 日)
  • OSSN-0033 - 某些版本的 Glance 未按预期应用属性保护 (2013 年 9 月 19 日)
  • OSSN-0032 - 禁用租户不会禁用用户令牌 (2013 年 8 月 30 日)
  • OSSN-0031 - Nova Baremetal 暴露了以前的租户数据 (2013 年 7 月 2 日)
  • OSSN-0030 - Bash 'shellshock' 漏洞可能导致代码注入漏洞 (2014 年 9 月 26 日)
  • OSSN-0029 - Neutron 防火墙规则在使用协议“any”时缺乏端口限制 (2014 年 9 月 24 日)
  • OSSN-0028 - Nova 泄露计算主机 SMBIOS 序列号给来宾 (2014 年 10 月 3 日)
  • OSSN-0027 - Neutron ARP 缓存中毒漏洞 (2014 年 9 月 16 日)
  • OSSN-0026 - 对配置文件的无限制写入权限可能允许代码执行 (2014 年 9 月 5 日)
  • OSSN-0025 - Swift 允许在同一网络上的任何人访问图像,在使用 delay_auth_decision 时 (2014 年 10 月 21 日)
  • OSSN-0024 - python-keystoneclient 中的敏感数据暴露 (2014 年 9 月 25 日)
  • OSSN-0023 - Keystone 在 INFO 日志级别将身份验证令牌记录在 URL 中 (2014 年 9 月 4 日)
  • OSSN-0022 - Nova Networking 在实例的软重启后未强制执行安全组规则 (2014 年 8 月 11 日)
  • OSSN-0021 - 受损帐户的用户应验证 Keystone 信任 (2014 年 7 月 25 日)
  • OSSN-0020 - 将浮动 IP 从 VM 分离不会终止 NAT 连接 (2014 年 9 月 15 日)
  • OSSN-0019 - Cinder SSH 池默认情况下会自动接受 SSH 主机签名 (2014 年 6 月 30 日)
  • OSSN-0018 - Nova Network 配置允许来宾 VM 连接到主机服务 (2014 年 6 月 25 日)
  • OSSN-0017 - Horizon 在使用默认签名 cookie 会话时存在会话固定漏洞 (2014 年 6 月 20 日)
  • OSSN-0016 - Cinder wipe 在 Grizzly 上以不安全的方式失败 (2014 年 6 月 3 日)
  • OSSN-0015 - Glance 允许非管理员用户创建公共镜像 (2014 年 5 月 31 日)
  • OSSN-0014 - Cinder 驱动程序设置不安全的文件权限 (2014 年 5 月 31 日)
  • OSSN-0013 - Glance 的某些版本未按预期应用属性保护 (2014 年 5 月 7 日)
  • OSSN-0012 - OpenSSL Heartbleed 漏洞可能导致 OpenStack 受到损害 (2014 年 4 月 10 日)
  • OSSN-0011 - Heat 模板中的无效引用允许意外的网络访问 (2014 年 4 月 4 日)
  • OSSN-0010 - 示例 Keystone v3 策略暴露了权限提升漏洞 (2014 年 4 月 17 日)
  • OSSN-0009 - 潜在的令牌撤销滥用通过组会员资格 (2014 年 4 月 2 日)
  • OSSN-0008 - 针对 noVNC 服务器的 DoS 风格攻击可能导致服务中断 (2014 年 3 月 9 日)
  • OSSN-0007 - 实时迁移说明建议使用不安全的 libvirt 远程访问 (2014 年 3 月 6 日)
  • OSSN-0006 - Keystone 允许在使用 REMOTE_USER 进行外部身份验证时进行用户模拟 (2014 年 1 月 17 日)
  • OSSN-0005 - Glance 允许在项目之间共享镜像,而无需消费者项目的批准 (2013 年 12 月 11 日)
  • OSSN-0004 - 经过身份验证的用户能够在不提供当前密码的情况下更新密码 (2013 年 11 月 22 日)
  • OSSN-0003 - Keystone 配置不应可供全世界读取 (2013 年 5 月 13 日)
  • OSSN-0002 - 建议对 HTTP POST 进行限制,以避免 Essex/Folsom Keystone DoS (2013 年 4 月 23 日)
  • OSSN-0001 - 选择 LXC 作为 Nova 虚拟化驱动程序可能导致数据泄露 (2013 年 3 月 15 日)
从 "https://wiki.openstack.org/w/index.php?title=Security_Notes&oldid=184484" 检索