关键信息 漏洞编号: OSSA-2015-017 摘要: Nova 在重新调整状态时可能无法删除镜像 日期: 2015年9月1日 CVE编号: CVE-2015-3280 受影响组件 Nova: 从 2014.2 版本到 2014.2.3,以及从 2015.1 版本到 2015.1.1 详细描述 George Shuklin(来自 Webzilla LTD)和 Tushar Patil(来自 NTT DATA)独立报告了 Nova 在重新调整状态时的一个安全漏洞。如果一个经过身份验证的用户在实例处于重新调整状态时删除了实例,这将导致原始实例无法从运行该实例的计算节点中删除。攻击者可以利用这一点来发起拒绝服务攻击。所有 Nova 配置都受到影响。 补丁 Juno 版本: https://review.openstack.org/219301 Kilo 版本: https://review.openstack.org/219300 Liberty 版本: https://review.openstack.org/219299 致谢 George Shuklin (Webzilla LTD) (CVE-2015-3280) Tushar Patil (NTT Data) (CVE-2015-3280) 参考链接 https://launchpad.net/bugs/1392527 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3280 备注 此修复程序将包含在未来 2014.2.4 (juno) 和 2015.1.2 (kilo) 版本中。