0x00 漏洞編号
暫無
0x01 危險等級
高危
OpenStack 是一個利用虛拟資源池構建和管理私有雲和公共雲的平台。在虛拟化環境中,例如(rú)存儲、CPU 和 RAM 等資源都是從諸多供應商特定的項目中提取出來,然後由虛拟機(jī)監控程序進行拆分并按需進行分配。 OpenStack 使用一組一緻的應用編程接口(API),進一步将這些虛拟資源提取爲離(lí)散池,用于輔助标準雲計算工具,供管理員和用戶直接交互使用。
OpenStack 使用一組一緻的應用編程接口(API),進一步将這些虛拟資源提取爲離(lí)散池,用于輔助标準雲計算工具,供管理員和用戶直接交互使用。
Openstack Trove是openstack爲用戶提供的數據庫即服務(DBaaS)。即trove既具有數據庫管理的功能,又具有雲計算的優勢。使用trove,用戶可(kě)以:“按需”獲得(de)數據庫服務器,配置所獲得(de)的數據庫服務器或者數據庫服務器集群,對它們進行自動化管理,根據數據庫的負載讓數據庫服務器集群動态伸縮。漏洞位于OpenStack的trove模塊中,OpenStack和每個已部署的數據庫實例之間都有一個連接協議(yì),該協議(yì)用于更改這些實例的配置,進行備份以及對數據庫實例執行其他(tā)操作。它還(hái)用于從數據庫收集統計信息。在此協議(yì)中進行代碼審查和執行流審計過程中發現可(kě)導緻遠(yuǎn)程代碼執行的0day漏洞。
臨時處理方案: 使用Service Tenant模型進行trove,參考鏈接:https://docs.openstack.org/trove/latest/admin/run_trove_in_production.html#service-tenant-deployment
臨時處理方案: