OpenStack Horizon输入验证错误漏洞

admin

0
文章

0
评论

2023-12-01 17:50:39 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

低危 OpenStack Horizon输入验证错误漏洞

CVE编号

CVE-2020-29565

利用情况

暂无

补丁情况

官方补丁

披露时间

2020-12-04

漏洞描述

OpenStack是美国国家航空航天局（National Aeronautics and Space Administration）和美国Rackspace公司合作研发的一个云平台管理项目。 OpenStack Horizon 15.3.2,16之前版本存在安全漏洞，该漏洞源于next参数缺乏验证，这将允许某人在Horizon中提供恶意URL，从而导致自动重定向到所提供的恶意URL。以下产品及版本受到影响： 15.3.2之前版本, 16.x before 16.2.1, 17.x and 18.x before 18.3.3, 18.4.x, and 18.5.x版本。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接： https://review.opendev.org/c/openstack/horizon/+/758843/

参考链接
http://www.openwall.com/lists/oss-security/2020/12/08/2
https://bugs.launchpad.net/horizon/+bug/1865026
https://review.opendev.org/c/openstack/horizon/+/758841/
https://review.opendev.org/c/openstack/horizon/+/758843/
https://security.openstack.org/ossa/OSSA-2020-008.html
https://www.debian.org/security/2020/dsa-4820

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	openstack	horizon	*		Up to (excluding) 15.3.2
	运行在以下环境
	应用	openstack	horizon	*	From (including) 16.0.0	Up to (excluding) 16.2.1
	运行在以下环境
	应用	openstack	horizon	*	From (including) 17.0.0	Up to (excluding) 18.3.3
	运行在以下环境
	应用	openstack	horizon	*	From (including) 18.4.0	Up to (including) 18.4.1
	运行在以下环境
	应用	openstack	horizon	18.5.0	-
	运行在以下环境
	系统	debian_10	horizon	*		Up to (excluding) 3:14.0.2-3+deb10u2
	运行在以下环境
	系统	debian_11	horizon	*		Up to (excluding) 3:18.6.1-1
	运行在以下环境
	系统	debian_12	horizon	*		Up to (excluding) 3:18.6.1-1
	运行在以下环境
	系统	debian_9	horizon	*		Up to (including) 10.0.1-1
	运行在以下环境
	系统	debian_sid	horizon	*		Up to (excluding) 3:18.6.1-1
	运行在以下环境
	系统	ubuntu_16.04	horizon	*		Up to (excluding) 2:9.1.2-0ubuntu5.2
	运行在以下环境
	系统	ubuntu_16.04.7_lts	horizon	*		Up to (excluding) 2:9.1.2-0ubuntu5.2
	运行在以下环境
	系统	ubuntu_18.04	horizon	*		Up to (excluding) 3:13.0.3-0ubuntu2
	运行在以下环境
	系统	ubuntu_18.04.5_lts	horizon	*		Up to (excluding) 3:13.0.3-0ubuntu2
	运行在以下环境
	系统	ubuntu_20.04	horizon	*		Up to (excluding) 3:18.3.2-0ubuntu0.20.04.4