<div dir="ltr"><div><div><div><div><div><div>I started making an attempt to role our vulnerability reporting into a more useful format two summits ago with this:  <a href="https://github.com/openfly/openstack/blob/master/vulnerabilities/apr_2013/vulndb.json">https://github.com/openfly/openstack/blob/master/vulnerabilities/apr_2013/vulndb.json</a><br>
<br></div>Any attempt to quantify risk for OpenStack starts with the collection of data, and the presentation of that data in a usable format.<br><br></div>Today, we really don't have vulnerability information for OpenStack in a usable format.  We also need to discuss the mechanism by which we will endeavour to collect information on actual exploitation of openstack adopters.<br>
<br></div>I think that discussion is what we'd need to focus on before we can come up with a risk model.  Get us using the same tools on the same data, and we'll have a much better time discussing which risk assessment model is right for OpenStack.<br>
<br></div>As stated earlier, OWASP's risk metrics are based on the threat profile of web applications.  This is well and good for horizon, but it wouldn't address the most damning vulnerabilities we've seen in keystone or the primacy of a hypervisor escape vulnerability in any threat matrix.<br>
<br></div>I'd be down to collaborate on putting our vulnerability metrics together into a more usable format.  Whatever we believe that to be.<br><br></div>-Matt Joyce<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">
On Tue, Jun 10, 2014 at 10:27 AM, Tristan Cacqueray <span dir="ltr"><<a href="mailto:tristan.cacqueray@enovance.com" target="_blank">tristan.cacqueray@enovance.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hi Doug,<br>
<div class=""><br>
On 06/10/2014 07:54 AM, Chivers, Douglas wrote:<br>
><br>
> Neither OWASP nor CVSS are cloud-aware, and the method described in the<br>
> security guide is very basic, so clearly none of the three is an off the<br>
> shelf solution. Due to the complexity of the maths involved in calculating<br>
> the CVSS score I would consider extending OWASP so it is applicable to<br>
> common cloud deployments.<br>
><br>
<br>
</div>Many thanks for this very nice summary, and it is what we (the VMT) also<br>
found out: we don't want to spend that much time on complexity<br>
calculation that might even not apply correctly for OpenStack.<br>
<div class=""><br>
<br>
><br>
> Before we try and define a framework for vulnerability assessment, I<br>
> suggest we make sure the requirements are clearly defined, here are a few:<br>
><br>
> - Define ŒThreat¹, ŒRisk¹, ŒVulnerability, etc - threat and risk are often<br>
> used interchangeably, and do not appear to be defined in the security<br>
> guide.<br>
><br>
<br>
</div>Doesn't the impact description already cover those ? Maybe we could<br>
formalize those. Several project break down the description in different<br>
parts, e.g. FreeBSD:<br>
 1 Background,<br>
 2 Problem description<br>
 3 Impact<br>
 4 Workaround<br>
<br>
Xen is doing this kind of breakdown:<br>
 1 Issue description<br>
 2 Impact<br>
 3 Vulnerable systems<br>
 4 Mitigation<br>
<div class=""><br>
<br>
> - The Vulnerability framework should include position in cloud in the<br>
> calculation, e.g. Œunder cloud infrastructure¹, Œon cloud infrastructure¹,<br>
> Œpublic instance¹<br>
><br>
> - The Vulnerability framework should include factor for type of<br>
> deployment, e.g. Œprivate¹, Œpublic¹, Œtrusted¹, Œuntrusted¹, or maybe<br>
> Œpaas¹ Œiaas¹.<br>
><br>
<br>
</div>That is indeed something to think about as Openstack usage can be so<br>
different, but then it can also be a great source of confusion. Some<br>
bugs are indeed much more critical for public instance than under cloud<br>
users, but most advisory are impacting all usage.<br>
<div class=""><br>
<br>
><br>
> Any thoughts? I suggest we flesh out the requirements before diving into<br>
> designing a methodology, but I¹m open to suggestions.<br>
><br>
<br>
</div>It would be great if we could take into account the ease of<br>
exploitation. Thinking about OSSA 2014-012 (Remote code execution in<br>
Glance Sheepdog backend) it could have use a "Fix this asap" red light<br>
compared to other bugs that are more specifics, hard to exploit, like<br>
the ones that requires social engineering.<br>
<br>
Best regards,<br>
Tristan<br>
<br>
<br>_______________________________________________<br>
Openstack-security mailing list<br>
<a href="mailto:Openstack-security@lists.openstack.org">Openstack-security@lists.openstack.org</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-security" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-security</a><br>
<br></blockquote></div><br></div>