注意

本文档适用于 Ceph 的开发版本。

报告文档错误

CVE-2021-3524：RGW 中通过 CORS 进行 HTTP 标头注入

• NIST 信息页面

radosgw 中发现一个缺陷。该漏洞与通过 CORS ExposeHeader 标签注入 HTTP 标头有关。CORS 配置文件中 ExposeHeader 标签中的 r 字符会在发出 CORS 请求时导致响应中生成标头注入。

已修复版本

• Pacific v16.2.4（及更高版本）

• Octopus v15.2.12（及更高版本）

• Nautilus v14.2.21（及更高版本）

建议

所有 Ceph 对象存储 (RGW) 用户都应升级。

致谢

Red Hat 感谢 Sergey Bobrov (Kaspersky) 报告此问题。

由 Ceph 基金会为您呈现

Ceph 文档是由非营利性 Ceph 基金会 资助和托管的社区资源。如果您希望支持这项工作和我们的其他努力，请考虑 立即加入。