注意
本文档适用于 Ceph 的开发版本。
过去的漏洞
发布时间 |
CVE |
严重性 |
总结 |
2023-02-02 |
中等 |
RGW 导致的 DoS |
|
2023-01-17 |
高 |
ceph-crash 以用户身份运行,而非 root |
|
2022-07-21 |
中等 |
Native-CephFS Manila 路径限制绕过 |
|
2021-05-13 |
中等 |
Swift API 拒绝服务 |
|
2021-05-13 |
中等 |
RGW 中的 CORS 导致 HTTP 标头注入 |
|
2021-05-13 |
高 |
通过令牌 cookie 实现仪表盘 XSS |
|
2021-04-14 |
高 |
cephx 中未经授权的 global_id 重用 |
|
2020-12-18 |
7.1 高 |
Manila 用户读取/修改 CephFS 凭证 |
|
2021-01-08 |
4.9 中等 |
mgr 模块密码以明文形式存储 |
|
2020-12-07 |
5.5 中等 |
ceph-ansible iscsi-gateway.conf 权限 |
|
2020-11-23 |
8.8 高 |
Cephx 重放漏洞 |
|
2020-04-22 |
7.5 高 |
格式错误的 POST 可能导致 RGW 崩溃 |
|
2020-06-26 |
6.5 中等 |
RGW 中的 CORS 导致 HTTP 标头注入 |
|
2020-06-22 |
8.0 高 |
mon 和 mgr 中的授权绕过 |
|
2020-04-23 |
6.1 中等 |
潜在的 RGW XSS 攻击 |
|
2020-04-13 |
6.8 中等 |
安全模式下 Cephx nonce 重用 |
|
2020-02-07 |
6.5 中等 |
RGW 断开连接泄露套接字,可能导致 DoS |
|
2020-04-21 |
7.5 高 |
仪表盘路径遍历缺陷 |
|
2019-12-23 |
6.5 中等 |
通过格式错误标头导致的 RGW DoS |
|
2019-11-08 |
7.5 高 |
无效的 HTTP 标头可能导致 RGW 崩溃 |
|
2019-03-27 |
7.5 高 |
RGW 文件描述符可能被耗尽 |
|
2019-01-28 |
7.5 高 |
加密密钥以明文形式记录 |
|
2019-01-15 |
6.5 中等 |
经过身份验证的 RGW 用户可能导致 DoS |
|
2019-01-15 |
5.7 中等 |
只读用户可能窃取 dm-crypt 密钥 |
|
2018-07-10 |
8.1 高 |
经过身份验证的用户可以创建/删除存储池 |
|
2018-03-19 |
7.5 高 |
格式错误的标头可能导致 RGW DoS |
|
2018-07-10 |
6.5 中等 |
网络 MITM 可以篡改消息 |
|
2018-07-10 |
7.5 高 |
Cephx 重放漏洞 |
|
2018-07-27 |
4.4 中等 |
libradosstriper 未经验证的格式字符串 |
|
2018-08-01 |
7.6 高 |
潜在的 RGW XSS 攻击 |
|
2018-07-31 |
6.5 中等 |
格式错误的 POST 可能导致 RGW DoS |
|
2016-10-03 |
7.5 高 |
RGW 未经授权的存储桶列表 |
|
2016-07-12 |
6.5 中等 |
mon 命令处理程序 DoS |
|
2016-12-03 |
RGW 标头注入 |