OpenStack Director 安全漏洞 (CVE-2016-4474)
Updated -
- Status
- Resolved
- Impact
- Important
当所有附带的映像都具有相同的根密码时,Red Hat OpenStack Director 用来部署 OpenStack 环境的 Overcloud 映像里会出现一个漏洞。
背景资料
Overcloud 映像是通过在虚拟机里引导 "utility" Red Hat Enterprise Linux 映像、并通过安装所有相关的 OpenStack 软件包定制 director 映像来构建的。然而,utility 映像配置了下列参数,在定制过程中这些参数不会改变:
rootpw ROOTPW
因此,所有附带的映像都具有相同的根密码 "ROOTPW"。
采取行动
我们强烈推荐所有具有由受影响的 Director 版本部署的 OpenStack 环境的 Red Hat 客户在系统里应用缓解措施。任何新的部署应该只使用更新的 Overcloud 映像。映像版本和我们推荐的缓解措施可以在 解决方案 标签页里找到。
Red Hat 产品安全团队已将这个问题评级为 Important .
Director 用这些映像部署的所有 OpenStack 系统都具有已知的根密码 "ROOTPW"。如果在部署后没有修改这个密码,攻击者就可能以根用户身份访问和更新系统。
因为使用 SSH 的远程根用户访问在默认情况下是禁用的,攻击者需要在主机上有一个帐号,或者通过 undercloud Compute(不支持这个配置)或其他标准控制台工具访问控制台。
要诊断您的 OpenStack 环境里的漏洞,请访问解决方案标签页。
受影响的产品
以下 Red Hat 产品版本会受到影响:
- Red Hat Enterprise Linux Platform 7.0 (Kilo) director
- Red Hat OpenStack Platform 8.0 (Liberty) director
诊断
您可以通过下列步骤轻易诊断这个漏洞:
- 在 undercloud 上运行 nova list 来显示受影响的主机列表。
- 在每台主机上用密码 ' ROOTPW' 以 'root' 登录。
缓解操作
通过修改这个 Director 部署的任何主机的根密码或限制根用户可以减缓这个漏洞:
- 在 undercloud 上运行 nova list 来显示受影响的主机列表。
-
登录到每台主机并获取根权限,例如:
-
$ ssh heat-admin@<your-system> $ su -
-
-
完成下列步骤之一:
- 设置新的密码:
-
# passwd
- 锁住根用户:
-
# passwd -l root
更新受影响的产品
我们于 2016 年 6 月 13 日发布了对所有受影响的产品的修复。
勘误为将来的部署提供了更新的映像。然而,当前部署里的根密码
| 产品 | 映像 | 建议/更新 |
|---|---|---|
| Red Hat OpenStack Platform 8.0 (Liberty) director | rhosp-director-images-8.0-20160603.2.el7ost | RHSA-2016:1222 |
| Red Hat Enterprise Linux OpenStack Platform 7.0 (Kilo) director | overcloud-full version 7.3.2 或更新版本 | RHSA-2016:1223 |
Subscriber exclusive content
A Red Hat subscription provides unlimited access to our knowledgebase of over 48,000 articles and solutions.
Welcome! Check out the Getting Started with Red Hat page for quick tours and guides for common tasks.