低危 OpenStack Neutron访问权限漏洞

CVE编号

CVE-2014-0056

利用情况

暂无

补丁情况

官方补丁

披露时间

2014-05-09

漏洞描述

OpenStack Neutron是开源的网络虚拟化解决方案。 OpenStack Neutron 2013.2.3之前的2012.2版本的l3-agent存在安全漏洞。当创建端口时，程序未能正确检查用户的ID。远程攻击者可通过port-create命令中的设备ID，访问其他用户的网络。

解决建议

请安装厂商已发布的最新版本或补丁：https://review.openstack.org/83391https://review.openstack.org/83393

参考链接
http://rhn.redhat.com/errata/RHSA-2014-0516.html
http://www.openwall.com/lists/oss-security/2014/03/27/5
http://www.ubuntu.com/usn/USN-2194-1
https://bugs.launchpad.net/neutron/+bug/1243327

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	openstack	neutron	2012.2	-
	运行在以下环境
	应用	openstack	neutron	2012.2.1	-
	运行在以下环境
	应用	openstack	neutron	2012.2.2	-
	运行在以下环境
	应用	openstack	neutron	2012.2.3	-
	运行在以下环境
	应用	openstack	neutron	2012.2.4	-
	运行在以下环境
	应用	openstack	neutron	2013.1	-
	运行在以下环境
	应用	openstack	neutron	2013.1.1	-
	运行在以下环境
	应用	openstack	neutron	2013.1.2	-
	运行在以下环境
	应用	openstack	neutron	2013.1.3	-
	运行在以下环境
	应用	openstack	neutron	2013.1.4	-
	运行在以下环境
	应用	openstack	neutron	2013.1.5	-
	运行在以下环境
	应用	openstack	neutron	2013.2	-
	运行在以下环境
	应用	openstack	neutron	2013.2.1	-
	运行在以下环境
	应用	openstack	neutron	2013.2.2	-
	运行在以下环境
	系统	debian	DPKG	*		Up to (excluding) 2013.2.2-4
	运行在以下环境
	系统	debian_10	neutron	*		Up to (excluding) 2013.2.2-4
	运行在以下环境
	系统	debian_11	neutron	*		Up to (excluding) 2013.2.2-4
	运行在以下环境
	系统	debian_12	neutron	*		Up to (excluding) 2013.2.2-4
	运行在以下环境
	系统	debian_sid	neutron	*		Up to (excluding) 2013.2.2-4
	运行在以下环境
	系统	ubuntu_14.04.6_lts	neutron	*		Up to (excluding) 1:2014.1~b3-0ubuntu1

阿里云评分 2.1

• 攻击路径 本地
• 攻击复杂度 困难
• 权限要求 普通权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 N/A
• 服务器危害 无影响
• 全网数量 N/A

CWE-ID	漏洞类型
CWE-287	认证机制不恰当

Exp相关链接

- avd.aliyun.com