0x00 漏洞編号
暫無
0x01 危險等級
高(gāo)危
OpenStack 是一(yī)個利用虛拟資源池構建和(hé)管理(lǐ)私有(yǒu)雲和(hé)公共雲的(de)平台。在虛拟化環境中,例如(rú)存儲、CPU 和(hé) RAM 等資源都是從諸多供應商(shāng)特定的(de)項目中提取出來,然後由虛拟機(jī)監控程序進行(xíng)拆分并按需進行(xíng)分配。 OpenStack 使用一(yī)組一(yī)緻的(de)應用編程接口(API),進一(yī)步将這些虛拟資源提取為(wèi)離(lí)散池,用于輔助标準雲計算工具,供管理(lǐ)員和(hé)用戶直接交互使用。
OpenStack 使用一(yī)組一(yī)緻的(de)應用編程接口(API),進一(yī)步将這些虛拟資源提取為(wèi)離(lí)散池,用于輔助标準雲計算工具,供管理(lǐ)員和(hé)用戶直接交互使用。
Openstack Trove是openstack為(wèi)用戶提供的(de)數據庫即服務(DBaaS)。即trove既具有(yǒu)數據庫管理(lǐ)的(de)功能,又具有(yǒu)雲計算的(de)優勢。使用trove,用戶可(kě)以:“按需”獲得數據庫服務器,配置所獲得的(de)數據庫服務器或者數據庫服務器集群,對它們(men)進行(xíng)自(zì)動化管理(lǐ),根據數據庫的(de)負載讓數據庫服務器集群動态伸縮。漏洞位于OpenStack的(de)trove模塊中,OpenStack和(hé)每個已部署的(de)數據庫實例之間都有(yǒu)一(yī)個連接協議,該協議用于更改這些實例的(de)配置,進行(xíng)備份以及對數據庫實例執行(xíng)其他操作。它還用于從數據庫收集統計信息。在此協議中進行(xíng)代碼審查和(hé)執行(xíng)流審計過程中發現可(kě)導緻遠程代碼執行(xíng)的(de)0day漏洞。
臨時處理(lǐ)方案: 使用Service Tenant模型進行(xíng)trove,參考鏈接:https://docs.openstack.org/trove/latest/admin/run_trove_in_production.html#service-tenant-deployment
臨時處理(lǐ)方案: