OpenStack: Beliebiger Dateizugriff durch benutzerdefinierte QCOW2-Daten
Eine Sicherheitslücke (CVE-2024-32498) in der Verarbeitung von QCOW2-Images betrifft die OpenStack-Komponenten Cinder, Glance und Nova. Martin Kaesberger entdeckte, dass ein speziell erstelltes QCOW2-Image, das einen bestimmten Dateipfad referenziert, es einem authentifizierten Benutzer ermöglicht, auf die Inhalte dieser Datei zuzugreifen. Dies kann zu einem unbefugten Zugriff auf potenziell sensible Daten führen.
Betroffene Versionen:
- Cinder: <22.1.3, >=23.0.0 <23.1.1, ==24.0.0
- Glance: <26.0.1, ==27.0.0, >=28.0.0 <28.0.2
- Nova: <27.3.1, >=28.0.0 <28.1.1, >=29.0.0 <29.0.3
Alle Cinder-Installationen sind betroffen. Bei Glance sind nur Deployments betroffen, bei denen die Bildkonvertierung aktiviert ist. Alle Nova-Installationen sind ebenfalls betroffen. Patches für die betroffenen Versionen sind auf OpenDev verfügbar. Eine Liste der spezifischen Patch-Links ist in den offiziellen Mitteilungen enthalten.
Nutzer sollten ihre Systeme umgehend aktualisieren, um diese Sicherheitslücke zu schließen und den Schutz ihrer Daten zu gewährleisten.