OpenStack Director セキュリティー脆弱性 (CVE-2016-4474)
この情報は役に立ちましたか?
OpenStack 環境をデプロイするために Red Hat OpenStack の director によって使用されるオーバークラウドイメージに脆弱性が発見され、同梱されるすべてのイメージに同じデフォルトの root パスワードが使用されていることが判明しました。
背景情報
オーバークラウドイメージは、「ユーティリティー」Red Hat Enterprise Linux イメージを仮想マシンで起動し、関係するすべての OpenStack パッケージをインストールして director 使用のイメージをカスタマイズしてビルドされます。しかし、ユーティリティーイメージには以下のパラメーターが設定されており、このパラメーターはカスタマイズ時に変更されませんでした。
rootpw ROOTPW
そのため、同梱されるすべてのイメージのデフォルトパスワードは「ROOTPW」でした。
対処方法
ご使用の OpenStack 環境が影響を受けるバージョンの director によってデプロイされた場合は、システムに軽減策を適用することが強く推奨されます。新しいデプロイメントは更新されたオーバークラウドイメージのみを使用します。イメージのバージョンおよび推奨される軽減策は、 解決法 タブ下に記載されています。
Red Hat Product Security チームは、この更新のセキュリティー影響度を 重要な影響 として評価しています。
これらのイメージを使って director によってデプロイされた OpenStack システムの root パスワードは、すべて「ROOTPW」であることが判明しました。デプロイ後にこのパスワードを変更しないと、攻撃者が root としてシステムにアクセスし、システムを更新する可能性があります。
SSH を使用したリモートの root アクセスはデフォルトでは無効になっているため、攻撃者はマシンのアカウントか、アンダークラウド Compute (この設定はサポートされません) またはその他の標準コンソールツールを介したコンソールへのアクセスが必要になります。
ご使用の OpenStack 環境でこの脆弱性を診断するには、解決法タブを参照してください。
影響を受ける製品
以下の Red Hat 製品のバージョンが影響を受けます。
- Red Hat Enterprise Linux Platform 7.0 (Kilo) director
- Red Hat OpenStack Platform 8.0 (Liberty) director
診断
以下を行うと、この脆弱性を簡単に診断できます。
- アンダークラウド上で nova list を実行し、影響を受けるマシンの一覧を表示します。
- パスワード「ROOTPW」を入力し、各マシンに root としてログインできるかを確認します。
軽減策
この脆弱性を軽減するには、director によってデプロイされたマシンの root パスワードを変更するか、root アカウントを制限します。
- アンダークラウド上で nova list を実行し、影響を受けるマシンの一覧を表示します。
-
以下のように各マシンにログインし、root にアクセスします。
-
$ ssh heat-admin@<your-system> $ su -
-
-
以下のいずれかを行います。
- 新しいパスワードを設定します。
-
# passwd
- root アカウントをロックします。
-
# passwd -l root
影響を受ける製品の更新
影響を受けたすべての製品の修正は、2016 年 6 月 13 日にリリースされました。
エラータは今後のデプロイメントの更新されたイメージのみを提供しますが、現在のデプロイメントの root パスワードも更新する必要があります (「軽減策」を参照してください)。
| 製品 | 画像 | アドバイザリー/更新 |
|---|---|---|
| Red Hat OpenStack Platform 8.0 (Liberty) director | rhosp-director-images-8.0-20160603.2.el7ost | RHSA-2016:1222 |
| Red Hat Enterprise Linux OpenStack Platform 7.0 (Kilo) director | overcloud-full バージョン 7.3.2 またはそれ以降 | RHSA-2016:1223 |
Comments