OpenStack Heat ReST API校验特权提升漏洞

2013-12-16T00:00:00
ID SSV:61132
Type seebug
Reporter Root
Modified 2013-12-16T00:00:00

Description

Bugtraq ID:64257 CVE ID:CVE-2013-6428

OpenStack Heat类似于亚马逊的CloudFormation,它可以基于政策对可能发生的情况定义一个模板。

OpenStack Heat应用没有正确校验通过"tenant_id" ReST API参数传递的租户ID,允许远程攻击者可以利用该漏洞伪造其他租户,提升权限。需要知道目标租户ID来利用该漏洞。 0 OpenStack Heat 2013.x 目前厂商暂无提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.openstack.org/