Warning message

This translation is outdated. For the most up-to-date information, please refer to the English version.

Vulnerabilidade de Segurança no OpenStack Director (CVE-2016-4474)

Public Date:
Updated -
Status
Resolved
Impact
Important

Foi descoberta uma vulnerabilidade nas imagens overcloud usadas pelo Red Hat OpenStack Director para implantar ambientes OpenStack, onde todas as imagens enviadas têm a mesma senha root padrão.

Informações Gerais

As imagens Overcloud são construídas ao inicializar uma imagem Red Hat Enterprise Linux "utilitária" em uma máquina virtual e personalizadas para o OpenStack Director instalando-se todos os pacotes relevantes. No entanto, a imagem utilitária possuía o seguinte parâmetro configurado e este parâmetro não foi alterado durante a personalização:

rootpw ROOTPW

Como resultado, todas as imagens enviadas tinham a senha root padrão "ROOTPW".

Intervenções Necessárias

Recomendamos que todos os clientes Red Hat com ambientes OpenStack implantados pelas versões do Director impactadas apliquem mitigações nos seus sistemas. Todas as implantações novas devem utilizar somente as imagens Overcloud atualizadas. As versões de imagens e as mitigações recomendadas podem ser encontradas sob a aba Resolução .

A Red Hat Product Security classificou esta atualização como um impacto de segurança Importante .

Todos os sistemas OpenStack implantados pelo Director com essas imagens têm a senha root conhecida como "ROOTPW". Se esta senha não é alterada após a implantação, um invasor pode, potencialmente, acessar e atualizar o sistema como root.

Já que o acesso root remoto usando SSH fica desabilitado por padrão, um invasor necessitaria de uma conta na máquina ou acesso ao console através do Undercloud Compute (esta configuração não possui suporte) ou de outras ferramentas de console padrão.

Para diagnosticar esta vulnerabilidade no seu ambiente OpenStack, consulte a aba Resolução.

Produtos Impactados

As seguintes versões dos produtos Red Hat estão impactadas:

  • Red Hat Enterprise Linux Platform 7.0 (Kilo) director
  • Red Hat OpenStack Platform 8.0 (Liberty) director

Diagnóstico

Você pode diagnosticar esta vulnerabilidade com facilidade fazendo o seguinte:

  1. Execute nova list no undercloud para exibir uma lista das máquinas impactadas.
  2. Tente fazer o login como 'root' em cada máquina usando a senha 'ROOTPW'.

Mitigação

A vulnerabilidade pode ser mitigada alterando a senha root de todas as máquinas implantadas pelo Director ou restringindo a conta root:

  1. Execute nova list no undercloud para exibir uma lista das máquinas impactadas.
  2. Faça o login em cada máquina e obtenha acesso root, por exemplo: 
    • $ ssh heat-admin@<your-system>
$ su -
  3. Execute uma das seguintes opções:
    • Defina uma nova senha: 
    • # passwd
    • Bloqueie a conta root: 
    • # passwd -l root

Atualizações para os Produtos Afetados

As correções para todos os produtos impactados foram lançadas no dia 13 de junho de 2016.

As erratas fornecem somente as imagens atualizadas para as implantações futuras. No entanto, a senha root nas implantações atuais devem ser atualizadas também (consulte Mitigação).

Produto Imagens Aviso/Atualização
Red Hat OpenStack Platform 8.0 (Liberty) director rhosp-director-images-8.0-20160603.2.el7ost RHSA-2016:1222
Red Hat Enterprise Linux OpenStack Platform 7.0 (Kilo) director overcloud-full versão7.3.2 ou mais recente RHSA-2016:1223

Subscriber exclusive content

A Red Hat subscription provides unlimited access to our knowledgebase of over 48,000 articles and solutions.

Current Customers and Partners

Log in for full access

Log In

New to Red Hat?

Learn more about Red Hat subscriptions

Share

Google+ Twitter Facebook
Close

Welcome! Check out the Getting Started with Red Hat page for quick tours and guides for common tasks.