关键信息 漏洞编号: [OSSA 2014-012] 和 CVE-2014-0162 漏洞类型: 远程代码执行 (Remote Code Execution) 受影响的产品: Glance 的 Sheepdog 后端 重要性: - Glance: Critical - Havana: Undecided - OpenStack Security Advisory: High 报告者: Paul McMillan 报告日期: 2014-03-28 CVE 参考: 2014-0162 修复状态: - Glance: Fix Released - Havana: Fix Committed - OpenStack Security Advisory: Fix Released 相关补丁提交: - https://github.com/openstack/glance/blob/9e9ce645e39d55b4da540b15b41f85bd2b4bd518/glance/store/sheepdog.py#L75 漏洞描述: Sheepdog 后端允许攻击者以 Glance 用户身份远程执行任意代码。报告指出,在触发注入时需要一个特别制作的 ID,但存在可能性让非管理员用户触发注入。 修复建议: 代码需要重写以移除 shell=True 的需求。建议从 中移除 列表中的 后端来禁用它。 修复讨论: 包含针对不同版本的补丁(如 master 版本和 Havana 版本),以及测试用例的调整细节。