OpenStack Director 보안 취약점 (CVE-2016-4474)

OpenStack 환경 배포를 위해 Red Hat OpenStack director에서 사용하는 Overcloud 이미지에서 탑재된 모든 이미지에 기본으로 동일한 root 암호가 설정되는 취약점이 발견되었습니다.

배경 정보

Overcloud 이미지는 가상 머신에 있는 "유틸리티" Red Hat Enterprise Linux 이미지를 부팅하면서 생성되며 해당 이미지는 모든 관련 OpenStack 패키지 설치를 통해 Director로 사용되기 위해 사용자 정의(커스터마이징)됩니다. 유틸리티 이미지에는 다음과 같은 매개 변수가 설정되어 있지만 이 값은 사용자 정의(커스터마이징) 과정에서 변경되지 않았습니다:

rootpw ROOTPW

결과적으로 탑재된 모든 이미지에는 "ROOTPW"라는 기본 root 암호가 설정되었습니다.

실행할 작업

영향을 받는 Director 버전에서 배포된 OpenStack 환경을 사용하는 모든 Red Hat 고객은 시스템에 완화 방법을 적용할 것을 강력히 권장합니다. 모든 새로운 배포는 업데이트된 Overcloud 이미지만을 사용해야 합니다. 이미지 버전 및 권장 완화 방법은 다음의 해결 방법 탭에서 확인하실 수 있습니다.

Red Hat 제품 보안팀은 본 취약점이 이번 업데이트에서 중요한 보안 영향을 미치는 것으로 평가하고 있습니다 .

이러한 이미지를 사용하여 Director에 의해 배포되는 모든 OpenStack 시스템에는 "ROOTPW"라는 root 암호가 설정됩니다. 배포 후 이러한 암호를 변경하지 않을 경우 공격자는 root로 시스템에 액세스하여 업데이트할 가능성이 있습니다.

SSH를 사용하는 root 원격 액세스는 기본적으로 비활성화되어 있기 때문에 공격자는 Undercloud Compute (이러한 설정은 지원되지 않음) 또는 기타 다른 표준 콘솔 도구를 통해 시스템이나 콘솔에 액세스할 수 있는 계정을 필요로 합니다.

해결방법 탭을 통해 OpenStack 환경에서 본 취약점이 영향을 미치는 지를 확인할 수 있습니다.

영향을 받는 제품

영향을 받는 Red Hat 제품 버전은 다음과 같습니다:

• Red Hat Enterprise Linux Platform 7.0 (Kilo) director
• Red Hat OpenStack Platform 8.0 (Liberty) director