<p dir="ltr">My two cents. It would be useful to have a role that could execute on the Fuel Master host itself rather than a container.</p>
<p dir="ltr">--<br>
Javeria</p>
<div class="gmail_quote">On Dec 7, 2015 9:49 PM, "Roman Prykhodchenko" <<a href="mailto:me@romcheg.me">me@romcheg.me</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Alexey,<br>
<br>
thank you for bringing this up. IMO discussing security problems is better to be done in a special kind of Launchpad bugs.<br>
<br>
- romcheg<br>
<br>
<br>
> 7 груд. 2015 р. о 17:36 Alexey Elagin <<a href="mailto:aelagin@mirantis.com">aelagin@mirantis.com</a>> написав(ла):<br>
><br>
> Hello all,<br>
><br>
> We have a security problem in Fuel 7.0. It's related to plugin<br>
> development and allows to execute code in mcollective docker container<br>
> on Fuel master node. Any fuel plugin may contains a yaml file with<br>
> deployment tasks (tasks.yaml, deployment_tasks.yaml etc) and there is<br>
> an ability to run some code on node with role "master". It's also<br>
> possible to connect to any target node via ssh without a password from<br>
> within the container.<br>
><br>
> As i understood, it was made to simplify some deployment cases. I see<br>
> some steps for resolving this situation:<br>
> 1. Fuel team should disallow<br>
> execution of any puppet manifests or bash code on nodes with master<br>
> role.<br>
> 2. Append the Fuel documentation. Notify users about this<br>
> security issue.<br>
><br>
> What do you think about it? What deployment cases which require<br>
> execution of code on role "master" do you know?<br>
><br>
> --<br>
> Best regards,<br>
> Alexey<br>
> Deployment Engineer<br>
> Mirantis, Inc<br>
> Cell: <a href="tel:%2B7%20%28968%29%20880%202288" value="+79688802288">+7 (968) 880 2288</a><br>
> Skype: shikelbober<br>
> Slack: aelagin<br>
> mailto:<a href="mailto:aelagin@mirantis.com">aelagin@mirantis.com</a><br>
><br>
><br>
> __________________________________________________________________________<br>
> OpenStack Development Mailing List (not for usage questions)<br>
> Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br>
> <a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
<br>
<br>__________________________________________________________________________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
<br></blockquote></div>