製品・ソフトウェアに関する情報

JVN脆弱性詳細

OpenStack の EC2 および OS API におけるアクセス制限を回避される脆弱性

タイトル	OpenStack の EC2 および OS API におけるアクセス制限を回避される脆弱性
概要	OpenStack の EC2 および OS API は、セキュリティグループが作成されていて、ネットワークプロトコルのエントリが小文字で記述されていない場合、プロトコルを適切にチェックしないため、アクセス制限を回避される脆弱性が存在します。
想定される影響	第三者により、アクセス制限を回避される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2012年6月21日0:00
登録日	2012年6月26日13:42
最終更新日	2012年6月26日13:42

影響を受けるシステム

OpenStack

OpenStack Compute Nova Folsom 2012.2

OpenStack Diablo 2011.3

OpenStack Essex 2012.1

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2012-2654	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2654
National Vulnerability Database (NVD)
2	CVE-2012-2654	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-2654

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-20	https://jvndb.jvn.jp/ja/cwe/CWE-20.html

ベンダー情報

No	名前	URL
GitHub
1	openstack / nova - Change-Id: I6c723d371579eb37a94bd484d39beeb773668ed4	https://github.com/openstack/nova/commit/ff06c7c885dc94ed7c828e8cdbb8b5d850a7e654
2	openstack / nova - Change-Id: If737104f492aacd3688f04d78eb9bc993ffa33fc	https://github.com/openstack/nova/commit/9f9e9da777161426a6f8cb4314b78e09beac2978
Launchpad
3	Bug #985184	https://bugs.launchpad.net/nova/+bug/985184
OpenStack
4	Change I36af1db2: Fix up protocol case handling for security groups	https://review.openstack.org/#/c/8239/
Ubuntu Security Notice
5	USN-1466-1	http://www.ubuntu.com/usn/USN-1466-1/

変更履歴

No	変更内容	変更日
0	[2012年06月26日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2012-2654

概要	The (1) EC2 and (2) OS APIs in OpenStack Compute (Nova) Folsom (2012.2), Essex (2012.1), and Diablo (2011.3) do not properly check the protocol when security groups are created and the network protocol is not specified entirely in lowercase, which allows remote attackers to bypass intended access restrictions.
公表日	2012年6月22日0:55
登録日	2021年1月28日14:58
最終更新日	2024年11月21日10:39

影響を受けるソフトウェアの構成

関連情報、対策とツール

No	URL	タグ
1	http://secunia.com/advisories/46808	Vendor Advisory
2	http://secunia.com/advisories/46808	Vendor Advisory
3	http://secunia.com/advisories/49439	Vendor Advisory
4	http://secunia.com/advisories/49439	Vendor Advisory
5	http://www.ubuntu.com/usn/USN-1466-1
6	http://www.ubuntu.com/usn/USN-1466-1
7	https://bugs.launchpad.net/nova/+bug/985184	Patch
8	https://bugs.launchpad.net/nova/+bug/985184	Patch
9	https://exchange.xforce.ibmcloud.com/vulnerabilities/76110
10	https://exchange.xforce.ibmcloud.com/vulnerabilities/76110
11	https://github.com/openstack/nova/commit/9f9e9da777161426a6f8cb4314b78e09beac2978	Exploit Patch
12	https://github.com/openstack/nova/commit/9f9e9da777161426a6f8cb4314b78e09beac2978	Exploit Patch
13	https://github.com/openstack/nova/commit/ff06c7c885dc94ed7c828e8cdbb8b5d850a7e654	Exploit Patch
14	https://github.com/openstack/nova/commit/ff06c7c885dc94ed7c828e8cdbb8b5d850a7e654	Exploit Patch
15	https://lists.launchpad.net/openstack/msg12883.html
16	https://lists.launchpad.net/openstack/msg12883.html
17	https://review.openstack.org/#/c/8239/
18	https://review.openstack.org/#/c/8239/

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-20	不適切な入力確認	https://cwe.mitre.org/data/definitions/20.html