低危 OpenStack 安全漏洞
CVE编号
CVE-2022-37394利用情况
暂无补丁情况
官方补丁披露时间
2022-08-03漏洞描述
OpenStack是美国国家航空航天局(National Aeronautics and Space Administration)和美国Rackspace公司合作研发的一个云平台管理项目。OpenStack Nova是其中的一个用Python编写的云计算构造控制器,属于IaaS系统的一部分。 OpenStack Nova 23.2.2之前版本、24.1.2之前的24.x版本以及25.0.2之前的25.x版本存在安全漏洞,该漏洞源于通过具有直接vnic_type的neutron端口,创建一个与该端口绑定的实例,然后将绑定端口的vnic_type改为macvtap,认证用户可能导致计算服务无法重新启动,从而导致可能的拒绝服务,只有配置有SR-IOV的Nova部署受到影响。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://bugs.launchpad.net/ossa/+bug/1981813 | |
| https://review.opendev.org/c/openstack/nova/+/849985 | |
| https://review.opendev.org/c/openstack/nova/+/850003 |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | openstack | nova | * | Up to (excluding) 23.2.2 | |||||
| 运行在以下环境 | |||||||||
| 应用 | openstack | nova | * | From (including) 24.0.0 | Up to (excluding) 24.1.2 | ||||
| 运行在以下环境 | |||||||||
| 应用 | openstack | nova | * | From (including) 25.0.0 | Up to (excluding) 25.0.2 | ||||
| 运行在以下环境 | |||||||||
| 系统 | debian_10 | nova | * | Up to (including) 18.1.0-6 | |||||
| 运行在以下环境 | |||||||||
| 系统 | debian_11 | nova | * | Up to (including) 22.0.1-2+deb11u1 | |||||
| 运行在以下环境 | |||||||||
| 系统 | debian_12 | nova | * | Up to (excluding) 2:26.0.0~rc1-3 | |||||
| 运行在以下环境 | |||||||||
| 系统 | debian_sid | nova | * | Up to (excluding) 2:26.0.0~rc1-3 | |||||
| 运行在以下环境 | |||||||||
| 系统 | ubuntu_20.04 | nova | * | Up to (excluding) 2:21.2.4-0ubuntu2.2 | |||||
| 运行在以下环境 | |||||||||
| 系统 | ubuntu_22.04 | nova | * | Up to (excluding) 3:25.1.0-0ubuntu1 | |||||
- 攻击路径 本地
- 攻击复杂度 困难
- 权限要求 普通权限
- 影响范围 有限影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 无影响
- 数据完整性 无影响
- 服务器危害 无影响
- 全网数量 N/A
| CWE-ID | 漏洞类型 |
| NVD-CWE-noinfo |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论