低危 OpenStack Nova安全绕过漏洞（CNVD-2017-37172）

CVE编号

CVE-2017-16239

利用情况

暂无

补丁情况

官方补丁

披露时间

2017-11-15

漏洞描述

OpenStack是美国国家航空航天局（National Aeronautics and Space Administration）和美国Rackspace公司合作研发的一个云平台管理项目。OpenStack Nova是其中的一个用Python编写的云计算构造控制器，属于IaaS系统的一部分。 OpenStack Nova 14.0.9及之前的版本、15.x版本至15.0.7版本和16.x版本至16.0.2版本中存在安全漏洞。攻击者可通过重建实例利用该漏洞绕过Filter Scheduler。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https://security.openstack.org/ossa/OSSA-2017-005.html

参考链接
http://www.securityfocus.com/bid/101950
https://access.redhat.com/errata/RHSA-2018:0241
https://access.redhat.com/errata/RHSA-2018:0314
https://access.redhat.com/errata/RHSA-2018:0369
https://launchpad.net/bugs/1664931
https://security.openstack.org/ossa/OSSA-2017-005.html
https://www.debian.org/security/2017/dsa-4056

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	openstack	nova	*		Up to (including) 14.0.9
	运行在以下环境
	应用	openstack	nova	15.0.0	-
	运行在以下环境
	应用	openstack	nova	15.0.1	-
	运行在以下环境
	应用	openstack	nova	15.0.2	-
	运行在以下环境
	应用	openstack	nova	15.0.3	-
	运行在以下环境
	应用	openstack	nova	15.0.4	-
	运行在以下环境
	应用	openstack	nova	15.0.5	-
	运行在以下环境
	应用	openstack	nova	15.0.6	-
	运行在以下环境
	应用	openstack	nova	15.0.7	-
	运行在以下环境
	应用	openstack	nova	16.0.0	-
	运行在以下环境
	应用	openstack	nova	16.0.1	-
	运行在以下环境
	应用	openstack	nova	16.0.2	-
	运行在以下环境
	系统	centos_7	python-novaclient	*		Up to (excluding) 6.0.2-2.el7ost
	运行在以下环境
	系统	debian_10	nova	*		Up to (excluding) 2:16.0.3-1
	运行在以下环境
	系统	debian_11	nova	*		Up to (excluding) 2:16.0.3-1
	运行在以下环境
	系统	debian_12	nova	*		Up to (excluding) 2:16.0.3-1
	运行在以下环境
	系统	debian_sid	nova	*		Up to (excluding) 2:16.0.3-1
	运行在以下环境
	系统	redhat_7	python-novaclient	*		Up to (excluding) 6.0.2-2.el7ost
	运行在以下环境
	系统	ubuntu_18.04.5_lts	nova	*		Up to (excluding) 2:17.0.0~rc2-0ubuntu1
	运行在以下环境
	系统	ubuntu_18.10	nova	*		Up to (excluding) 2:17.0.0~rc2-0ubuntu1

阿里云评分 2.7

• 攻击路径 远程
• 攻击复杂度 复杂
• 权限要求 普通权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 100

CWE-ID	漏洞类型
NVD-CWE-noinfo

Exp相关链接

- avd.aliyun.com