Vulnérabilité de sécurité OpenStack Director (CVE-2016-4474)
Mis à jour
Est-ce que cette infomation vous a été utile ?
On a détecté une vulnérabilité dans les images overcloud utilisées dans Red Hat OpenStack Director qui sert à déployer les environnements OpenStack, où toutes les images fournies ont le même mot de passe root par défaut.
Informations générales
Les images Overcloud sont construites en démarrant une image Red Hat Enterprise Linux d'« utilitaire » dans une machine virtuelle et en personnalisant l’image pour qu'elle puisse être utilisée par Director en installant tous les paquets d'OpenStack concernés. Cependant, l’image de l’utilitaire a le paramètre suivant configuré, et ce paramètre n’a pas été modifié au cours de la personnalisation :
rootpw ROOTPW
De ce fait, toutes les images fournies ont pour mot de passe par défaut "ROOTPW".
Action
Nous recommandons à tous les clients de Red Hat qui ont des environnements d'OpenStack déployés par des versions de Director concernées d'appliquer des mesures de mitigation à leur système. Tous les nouveaux déploiements doivent utiliser les images d'Overcloud mises à jour uniquement. Les versions d'images et les mesures de prévention recommandées se trouvent sous l'onglet Résoudre.
Red Hat Product Security a évalué l'impact de sécurité à un niveau Important .
Tous les systèmes OpenStack déployés avec ces images par Director ont le mot de passe root "ROOTPW" connu. Si ce mot de passe n'a pas été changé après le déploiement, un attanquant pourrait accéder et metter à jour le système en tant qu'utilisateur root.
Comme l'accès root distant utilisant SSH est désactivé par défaut, un attaquant a besoin d'une compte sur une machine ou une console pour accéder par l'intermédiaire de Compute Undercloud (cette configuration n'est pas prise en charge) ou d'autres outils de console standard.
Pour faire le diagnostique de cette vulnérabilité dans un environnement OpenStack, voir l'onglet Résoudre.
Produits concernés
Les versions de produits Red Hat suivants sont concernés :
- Red Hat Enterprise Linux Platform 7.0 (Kilo) director
- Red Hat OpenStack Platform 8.0 (Liberty) director
Diagnostiquer
Vous pouvez facilement diagnostiquer cette vulnérabilité de la manière suivante :
- Exécutez nova list dans l'undercloud pour afficher la liste des machines affectés.
- Essayez de vous connecter en tant que « root » sur chaque machine en utilisant le mot de passe « ROOTPW ».
Prévention
Le problème peut être évité en changeant le mot de passe root de toutes les machines déployées par Director, or en limitant l'accès au compte superutilisateur :
- Exécutez nova list dans l'undercloud pour afficher la liste des machines affectés.
-
Connectez-vous dans chaque machine et obtenez l'accès « root », exemple :
-
$ ssh heat-admin@<your-system> $ su -
-
-
Effectuer une des choses suivantes :
- Définir un nouveau mot de passe :
-
# passwd
- Verrouiller le compte superutilisateur :
-
# passwd -l root
Mise à jour des produits concernés
Des correctifs sont sortis le 13 juin 2016 pour tous les produits concernés.
L'errata vous donne des images mises à jour uniquement pour les futurs déploiements. Cependant, le mot de passe root des déploiements en cours doit également être mis à jour (voir Prévention).
| Produit | Images | Alerte/Mise à jour |
|---|---|---|
| Red Hat OpenStack Platform 8.0 (Liberty) director | rhosp-director-images-8.0-20160603.2.el7ost | RHSA-2016:1222 |
| Red Hat Enterprise Linux OpenStack Platform 7.0 (Kilo) director | overcloud-full version 7.3.2 ou + | RHSA-2016:1223 |
Comments