Vulnerabilidad de seguridad de OpenStack Director (CVE-2016-4474)
Updated -
- Status
- Resolved
- Impact
- Important
Se ha descubierto una vulnerabilidad en imágenes Overcloud utilizadas por Director de Red Hat OpenStack para implementar entornos OpenStack, donde todas las imágenes distribuidas tienen la misma contraseña predeterminada.
### Información de fondo
Las imágenes Overcloud se crean al iniciar una imagen de "herramienta" de Red Hat Enterprise Linux en una máquina virtual, y al personalizar la imagen para el uso de Director mediante la instalación de todos los paquetes relevantes de OpenStack. Sin embargo, la imagen de la herramienta tenía configurado el siguiente parámetro y este parámetro no fue cambiado durante la personalización:
rootpw ROOTPW
Como resultado, todas las imágenes distribuidas tenían la contraseña root predeterminada "ROOTPW".
Acción
Se recomienda encarecidamente que todos los clientes Red Hat con entornos OpenStack que fueron implementados por versiones impactadas de Director apliquen las mitigaciones a sus sistemas. Cualquier implementación nueva debe utilizar únicamente imágenes Overcloud actualizadas. Las versiones de imágenes y las mitigaciones recomendadas se encuentran bajo la pestaña Resolución .
Red Hat Product Security ha clasificado esta actualización como de impacto de seguridad Importante .
Todos los sistemas OpenStack implementados por Director con estas imágenes tienen la contraseña conocida de root "ROOTPW". Si la contraseña no se cambió después de la implementación, un atacante podría en potencia, acceder y actualizar los sistemas como usuario root.
Debido a que el acceso root mediante SSH se inhabilita de forma predeterminada, un atacante requeriría una cuenta en la máquina o consola de acceso a través de computación Undercloud (esta configuración no recibe soporte) u otras herramientas de consola estándares.
Para diagnosticar esta vulnerabilidad en su entorno OpenStack, consulte la pestaña Resolución
Productos impactados
Se han afectado las siguientes versiones de Red Hat Product:
- Director de Red Hat Enterprise Linux Platform 7.0 (Kilo)
- Director de Red Hat OpenStack Platform 8.0 (Liberty)
Diagnóstico
Usted puede diagnosticar esta vulnerabilidad de la siguiente manera:
- Ejecute nova list en el Undercloud para desplegar una lista de máquinas impactadas.
- Intente ingresar como usuario 'root' para cada máquina mediante la contraseña 'ROOTPW'.
Mitigación
La vulnerabilidad puede mitigarse cambiando la contraseña de usuario root de todas las máquinas implementadas como Director o restringiendo la cuenta de root:
- Ejecute nova list en el Undercloud para desplegar una lista de máquinas impactadas.
-
Ingrese cada máquina y obtenga acceso de root, por ejemplo:
-
$ ssh heat-admin@<your-system> $ su -
-
-
Efectúe una de las siguientes acciones:
- Establezca una nueva contraseña:
-
# passwd
- Bloquee la cuenta de root:
-
# passwd -l root
Actualizaciones por productos afectados
El 13 de junio de 2016, se lanzaron los correctivos para los productos impactados,
Las erratas únicamente proporcionan imágenes para futuras implementaciones. Sin embargo, la contraseña de root en las implementaciones actuales también debe actualizarse (ver Mitigación).
| Producto | Imágenes | Recomendación/Actualización |
|---|---|---|
| Director de Red Hat OpenStack Platform 8.0 (Liberty) | rhosp-director-images-8.0-20160603.2.el7ost | RHSA-2016:1222 |
| Director de Red Hat Enterprise Linux OpenStack Platform 7.0 (Kilo) | Versión completa de Overcloud 7.3.2 o posterior | RHSA-2016:1223 |
Subscriber exclusive content
A Red Hat subscription provides unlimited access to our knowledgebase of over 48,000 articles and solutions.
Welcome! Check out the Getting Started with Red Hat page for quick tours and guides for common tasks.