Vulnerabilidad en OpenStack Nova (CVE-2017-18191)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
19/02/2018
Última modificación:
03/10/2019
Descripción
Se ha descubierto un problema en OpenStack Nova en versiones 15.x hasta la 15.1.0 y 16.x hasta la 16.1.1. Al desconectar y volver a conectar un volumen cifrado, un atacante podría acceder al volumen en bruto subyacente y corromper la cabecera LUKS, resultando en un ataque de denegación de servicio (DoS) en el host de computación. (El mismo código de error resulta en pérdida de datos, pero no se trata de una vulnerabilidad porque el usuario pierde sus propios datos). Todas las configuraciones de Nova que soportan volúmenes cifrados están afectadas.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
7.80
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:openstack:nova:*:*:*:*:*:*:*:* | 15.0.0 (incluyendo) | 15.1.0 (incluyendo) |
| cpe:2.3:a:openstack:nova:*:*:*:*:*:*:*:* | 16.0.0 (incluyendo) | 16.1.1 (incluyendo) |
| cpe:2.3:a:redhat:openstack:9:*:*:*:*:*:*:* | ||
| cpe:2.3:a:redhat:openstack:10:*:*:*:*:*:*:* | ||
| cpe:2.3:a:redhat:openstack:12:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://openwall.com/lists/oss-security/2018/04/20/3
- http://www.securityfocus.com/bid/103104
- https://access.redhat.com/errata/RHSA-2018:2332
- https://access.redhat.com/errata/RHSA-2018:2714
- https://access.redhat.com/errata/RHSA-2018:2855
- https://launchpad.net/bugs/1739593
- https://review.openstack.org/539893
- https://security.openstack.org/ossa/OSSA-2018-001.html