<p dir="ltr">On 13 Jun 2015 10:17 am, "Bastian Blank" <<a href="mailto:waldi@debian.org">waldi@debian.org</a>> wrote:<br>
><br>
> Hi<br>
><br>
> OpenStack Cinder and Nova do not provide input format to several calls<br>
> of "qemu-img convert".  In Cinder these calls are done as root.  This<br>
> allows the attacker to play the format guessing in qemu-img by providing<br>
> input with a qcow2 signature.  If this signature contains a base file,<br>
> this file will be read by a process running as root and embedded in the<br>
> output.  This bug is similar to CVE-2013-1922 and has been assigned<br>
> CVE-2015-1850.<br>
><br>
> Tested with: lvm backed volume storage in Cinder, it may apply to others<br>
> as well.<br>
><br>
> Steps to reproduce:<br>
> - create volume and attach to vm,<br>
> - create a qcow2 signature on the volume containing a base-file[1] from<br>
>   within the vm and<br>
> - trigger an upload to Glance with "cinder upload-to-image --disk-type<br>
>   qcow2"[2].<br>
> The image uploaded to Glance will have the base-file from the<br>
> cinder-volume host embedded.<br>
><br>
> Affected versions: tested on 2014.1.3, found while reading 2014.2.1<br>
><br>
> Timeline:<br>
> - Reported upstream 2015-01-27<br>
> - Published 2015-06-13<br>
><br>
> Regards,<br>
> Bastian Blank<br>
><br>
> [1]: qemu-img create -f qcow2 -b /etc/passwd /dev/vdb<br>
> [2]: The disk-type != raw triggers the use of "qemu-img convert"</p>
<p dir="ltr">Hi,</p>
<p dir="ltr">+CC openstack-security</p>
<p dir="ltr">I see that this is being brought to oss-sec', but seemingly not via the OpenStack Security Group or Vulnerability Management Team.</p>
<p dir="ltr">CVE-2015-1850 is referenced in your mail, are you saying that this has been assigned to this issue? I cannot easily find any other reference of its allocation.</p>
<p dir="ltr">You said that this was raised upstream on 2015-01-27, do you have a Launchpad bug number or information on this discourse as to what was the outcome?</p>
<p dir="ltr">Thanks</p>
<p dir="ltr">--<br>
Kind Regards,<br>
Dave Walker</p>