OpenStack Swift-on-File 任意代码执行漏洞

CNNVD-ID编号	CNNVD-201511-425
CVE编号	CVE-2015-5242
发布时间	2015-11-26
更新时间	2015-11-26
漏洞类型	代码注入
漏洞来源	N/A
危险等级	中危
威胁类型	远程
厂商	redhat

漏洞介绍

OpenStack是美国国家航空航天局（National Aeronautics and Space Administration）和美国Rackspace公司合作研发的一个云平台管理项目。Swift-on-File（又名Swiftonfile）是其中的一个用于扩展Swift集群并从不同的存储后端迁移数据的服务。

OpenStack Swift-on-File中存在安全漏洞，该漏洞源于程序加载元数据时没有限制使用pickle Python模块。远程攻击者可借助特制的扩展属性（xattrs）利用该漏洞执行任意代码。

漏洞补丁

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://review.openstack.org/#/c/237994/

参考网址

来源:access.redhat.com

链接：https://access.redhat.com/solutions/1985893
来源:REDHAT

链接：http://rhn.redhat.com/errata/RHSA-2015-1918.html
来源:review.openstack.org

链接：https://review.openstack.org/#/c/237994/

受影响实体

Redhat Gluster_storage:3.1

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201511-425