Red Hat OpenStack Platform director (TripleO) CVE-2017-2637 错误以及对 Red Hat OpenStack Platform 的影响

Solution Verified - Updated -

Environment

  • Red Hat OpenStack Platform 11 不会受影响。
  • Red Hat OpenStack Platform 10 会受影响。
  • Red Hat OpenStack Platform 9 会受影响。
  • Red Hat OpenStack Platform 8 会受影响。
  • Red Hat OpenStack Platform 7 会受影响。

Issue

Red Hat OpenStack Platform director 中存在一个设计错误:它使用 TripleO 来实现基于 libvirtd 的实时迁移(live-migration)。TripleO 本身并不支持安全的实时迁移,而 director 也没有采取额外的步骤来锁定 libvirtd 部署。在默认情况下,libvirtd 被部署为在没有验证或加密的情况下监听 0.0.0.0(所有接口)。因此,如果用户可以获得到 compute 主机的任何 IP 地址(包括 127.0.0.1、其他环回接口地址、或在某些情况下可访问的除管理接口以外的地址)的 TCP 连接,就有可能使用它建立一个到 libvirtd 实例的 virsh 会话,从而可以控制虚拟机实例,甚至可能控制相关的主机。

请注意:在没有其他漏洞的情况下,这应该 不能 从租户网络或外部网络中访问到。

Resolution

Red Hat OpenStack Platform 11

Red Hat OpenStack Platform 11 包括:

  • puppet-tripleo-6.3.0-12.el7ost
  • openstack-nova-15.0.3-3.el7ost
  • puppet-nova-10.4.0-5.el7ost
  • openstack-tripleo-common-6.0.0-8.el7ost
  • openstack-tripleo-heat-templates-6.0.0-9.el7ost
  • openstack-tripleo-puppet-elements-6.0.0-3.el7ost

这些更新的软件包已解决了这个问题,它们包括在 Red Hat OpenStack Platform 11 GA 版本中(2017 年 5 月 18 日)。

使用 beta 版或发行候选版本的 Red Hat OpenStack Platform 作为生产环境不被支持,如果您正在使用这些版本,我们推荐使用 Red Hat OpenStack Platform 11 的 GA 版本进行重新部署。

Red Hat OpenStack Platform 10

Red Hat OpenStack Platform 10 现在包括了以下已解决了这个问题的软件包:

  • openstack-nova-14.0.3-9.el7ost
  • puppet-nova-9.5.0-4.el7ost
  • openstack-tripleo-puppet-elements-5.2.0-3.el7ost
  • puppet-tripleo-5.5.0-11.el7ost
  • openstack-tripleo-heat-templates-5.2.0-12.el7ost
  • openstack-tripleo-common-5.4.1-5.el7ost

在升级到 Red Hat OpenStack Platform 11 前,需要应用这些更新的软件包。这些更新作为勘误 RHSA-2017:1242 的一部分被提供。

如需了解如果应用这些更新的信息,请参阅 Upgrading Red Hat Openstack Platform

对可组合角色的影响

如果您使用自定义角色(custom role),则需要在进行 OSP10 从版本更新前更新这些自定义角色。相关信息,请参阅 Red Hat Bugzilla # 1448157

Red Hat OpenStack Platform 9

Red Hat OpenStack Platform 9 现在包括了以下已解决这个问题的软件包:

  • openstack-tripleo-heat-templates-2.0.0-57.el7ost
  • openstack-tripleo-heat-templates-liberty-2.0.0-57.el7ost
  • openstack-tripleo-puppet-elements-2.0.0-6.el7ost
  • python-tripleoclient-2.0.0-14.el7ost

在升级到 Red Hat OpenStack Platform 10 前,需要应用这些更新的软件包。它们作为勘误 RHSA-2017:1504 的一部分被提供。

如需了解如何应用这些更新的信息,请参阅 Upgrading Red Hat Openstack Platform

Red Hat OpenStack Platform 8

Red Hat OpenStack Platform 8 现在包括了以下已解决了这个问题的软件包:

  • openstack-tripleo-heat-templates-0.8.14-29.el7ost
  • openstack-tripleo-heat-templates-kilo-0.8.14-29.el7ost
  • openstack-tripleo-puppet-elements-0.0.5-2.el7ost
  • python-tripleoclient-0.3.4-14.el7ost

在升级到 Red Hat OpenStack Platform 9 前,需要应用这些更新的软件包。它们作为勘误 RHSA-2017:1546 的一部分被提供。

如需了解如何应用这些更新的信息,请参阅 Upgrading Red Hat Openstack Platform

Red Hat OpenStack Platform 7

Red Hat OpenStack Platform 7 现在包括了以下已解决了这个问题的软件包:

  • openstack-tripleo-heat-templates-0.8.6-135.el7ost
  • openstack-tripleo-puppet-elements-0.0.1-6.el7ost
  • python-rdomanager-oscplugin-0.0.10-34.el7ost

在升级到 Red Hat OpenStack Platform 8 前,需要应用这些更新的软件包。它们作为勘误 RHSA-2017:1537 的一部分被提供。

如需了解如何应用这些更新的信息,请参阅 Director Installation and Usage

Red Hat OpenStack Platform 7、8、9 的缓解方案

Red Hat OpenStack Platform 7、8、9 现在都包括了可以解决这个问题的解决方案。请参照前面的相关信息对您所使用的 Red Hat OpenStack Platform 进行更新。

在这些正式解决方案之前,我们提供了相关软件包,用户可以“选择性”地应用它们作为这个问题的短期缓解方案。

部署和更新警告信息

如果用户运行的 director 版本当前还不包括可以解决这个问题的更新,则在运行 overcloud 部署或更新命令时会显示以下警告信息。

如果需要删除这个警告信息,请根据本文档中的内容对使用的 Red Hat OpenStack Platform 版本进行更新。

Root Cause

Security Advisory CVE-2017-2637:

A design flaw issue was found in the Red Hat OpenStack Platform director use of TripleO to enable libvirtd based live-migration. Libvirtd is
deployed by default (by director) listening on 0.0.0.0 (all interfaces) with no-authentication or encryption. Anyone able to make a TCP connection to any compute host IP address, including 127.0.0.1, other loopback interface addresses, or in some cases possibly addresses that have been exposed beyond the management interface, could use this to open a virsh session to the libvirtd instance and gain control of virtual machine instances or possibly take over the host. (CVE-2017-2637)

如需了解更多相关信息,请访问红帽 CVE 数据库中的相关内容 CVE-2017-2637

Diagnostic Steps

请根据本文档所提供的内容对您所使用的 Red Hat OpenStack Platform 版本进行升级。

This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.