Vulnerabilidad en OpenStack Compute (CVE-2012-2654)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
21/06/2012
Última modificación:
11/04/2025
Descripción
Las APIs (1) EC2 y (2) OS en OpenStack Compute (Nova) Folsom (2012.2), Essex (2012.1) y Diablo (2011.3) no comprueban correctamente el protocolo cuando se crean grupos de seguridad y el protocolo de red no se ha especificado por completo en minúsculas, lo que permite a atacantes remotos eludir restricciones de acceso.
Impacto
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:openstack:compute:2012.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:openstack:diablo:2011.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:openstack:essex:2012.1:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://secunia.com/advisories/46808
- http://secunia.com/advisories/49439
- http://www.ubuntu.com/usn/USN-1466-1
- https://bugs.launchpad.net/nova/+bug/985184
- https://exchange.xforce.ibmcloud.com/vulnerabilities/76110
- https://github.com/openstack/nova/commit/9f9e9da777161426a6f8cb4314b78e09beac2978
- https://github.com/openstack/nova/commit/ff06c7c885dc94ed7c828e8cdbb8b5d850a7e654
- https://lists.launchpad.net/openstack/msg12883.html
- https://review.openstack.org/#/c/8239/
- http://secunia.com/advisories/46808
- http://secunia.com/advisories/49439
- http://www.ubuntu.com/usn/USN-1466-1
- https://bugs.launchpad.net/nova/+bug/985184
- https://exchange.xforce.ibmcloud.com/vulnerabilities/76110
- https://github.com/openstack/nova/commit/9f9e9da777161426a6f8cb4314b78e09beac2978
- https://github.com/openstack/nova/commit/ff06c7c885dc94ed7c828e8cdbb8b5d850a7e654
- https://lists.launchpad.net/openstack/msg12883.html
- https://review.openstack.org/#/c/8239/