LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2023 / Informations sur la sécurité -- DLA-3302-1 nova

Bulletin d'alerte Debian

DLA-3302-1 nova -- Mise à jour de sécurité pour LTS

Date du rapport :

31 janvier 2023

Paquets concernés :

nova

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 1029561.
Dans le dictionnaire CVE du Mitre : CVE-2022-47951.

Plus de précisions :

Un problème a été découvert dans Nova, un projet d’OpenStack fournissant un moyen de mise à disposition d’instances de calcul (c’est-à-dire des serveurs virtuels). En fournissant une image simple VMDK spécialement créée qui référençait un chemin spécifique de fichier de sauvegarde, un utilisateur authentifié pouvait persuader des systèmes de renvoyer une copie du contenu de fichier par le serveur, aboutissant à un accès non autorisé à des données éventuellement sensibles.

Pour Debian 10 Buster, ce problème a été corrigé dans la version 2:18.1.0-6+deb10u2.

Nous vous recommandons de mettre à jour vos paquets nova.

Pour disposer d'un état détaillé sur la sécurité de nova, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/nova.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.