Vulnerabilidad en Amphora Images en OpenStack Octavia. (CVE-2019-17134)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-287
Autenticación incorrecta
Fecha de publicación:
08/10/2019
Última modificación:
07/11/2023
Descripción
Amphora Images en OpenStack Octavia versiones posteriores e incluyendo a 0.10.0 anteriores a 2.1.2, versiones posteriores e incluyendo a 3.0.0 anteriores a 3.2.0, versiones posteriores e incluyendo a 4.0.0 anteriores a 4.1.0, permite a cualquier persona con acceso a la red de administración omitir la autenticación basada en el certificado del cliente y recuperar información o emitir comandos de configuración mediante peticiones HTTP simples hacia el Agente sobre el puerto https/9443, porque la opción gunicorn cert_reqs del archivo cmd/agent.py es True pero se supone que es ssl.CERT_REQUIRED.
Impacto
Puntuación base 3.x
9.10
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
6.40
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:opendev:octavia:*:*:*:*:*:openstack:*:* | 0.10.0 (incluyendo) | 2.1.2 (excluyendo) |
| cpe:2.3:a:opendev:octavia:*:*:*:*:*:openstack:*:* | 3.0.0 (incluyendo) | 3.2.0 (excluyendo) |
| cpe:2.3:a:opendev:octavia:*:*:*:*:*:openstack:*:* | 4.0.0 (incluyendo) | 4.1.0 (excluyendo) |
| cpe:2.3:o:canonical:ubuntu_linux:19.04:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://access.redhat.com/errata/RHSA-2019:3743
- https://access.redhat.com/errata/RHSA-2019:3788
- https://access.redhat.com/errata/RHSA-2020:0721
- https://review.opendev.org/686541
- https://review.opendev.org/686543
- https://review.opendev.org/686544
- https://review.opendev.org/686545
- https://review.opendev.org/686546
- https://review.opendev.org/686547
- https://security.openstack.org/ossa/OSSA-2019-005.html
- https://storyboard.openstack.org/#%21/story/2006660
- https://usn.ubuntu.com/4153-1/