低危 Openstack Nova 2011.3/2012.1/Folsom iptables Stack-Based 拒绝服务漏洞

CVE编号

CVE-2012-2101

利用情况

暂无

补丁情况

官方补丁

披露时间

2012-06-08

漏洞描述

OpenStack是由Rackspace和NASA共同开发的云计算平台，帮助服务商和企业内部实现类似于Amazon EC2和S3的云基础架构。应用程序没有对安全组规则创建的数量配置进行强制执行，攻击者可以利用此漏洞创建多个iptables规则和消耗大量系统资源，造成拒绝服务攻击。

解决建议

用户可参考如下供应商提供的安全公告获得补丁信息：https://bugs.launchpad.net/nova/ bug/969545

参考链接
http://lists.fedoraproject.org/pipermail/package-announce/2012-May/079434.html
http://lists.fedoraproject.org/pipermail/package-announce/2012-May/079551.html
http://secunia.com/advisories/49034
http://secunia.com/advisories/49048
http://ubuntu.com/usn/usn-1438-1
http://www.osvdb.org/81641
https://bugs.launchpad.net/nova/+bug/969545
https://exchange.xforce.ibmcloud.com/vulnerabilities/75243
https://github.com/openstack/nova/commit/1f644d210557b1254f7c7b39424b09a45329ade7
https://github.com/openstack/nova/commit/8c8735a73afb16d5856f0aa6088e9ae406c52beb
https://github.com/openstack/nova/commit/a67db4586f70ed881d65e80035b2a25be195ce64
https://lists.launchpad.net/openstack/msg10268.html

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	openstack	nova	2011.3	-
	运行在以下环境
	应用	openstack	nova	2012.1	-
	运行在以下环境
	应用	openstack	nova	folsom	-
	运行在以下环境
	系统	debian_10	nova	*		Up to (excluding) 2012.1-2
	运行在以下环境
	系统	debian_11	nova	*		Up to (excluding) 2012.1-2
	运行在以下环境
	系统	debian_12	nova	*		Up to (excluding) 2012.1-2
	运行在以下环境
	系统	debian_sid	nova	*		Up to (excluding) 2012.1-2
	运行在以下环境
	系统	fedora_EPEL_6	python-glance	*		Up to (excluding) 2012.1-5.el6
	运行在以下环境
	系统	ubuntu_12.04.5_lts	nova	*		Up to (excluding) 2012.1-0ubuntu2.1

阿里云评分 3.2

• 攻击路径 远程
• 攻击复杂度 复杂
• 权限要求 普通权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 传输被破坏
• 服务器危害 DoS
• 全网数量 N/A

CWE-ID	漏洞类型
CWE-264	权限、特权和访问控制

Exp相关链接

- avd.aliyun.com