
<div dir="ltr">Okay! But, I don't know how to reproduce this. Mostly because this situation appeared "out of nothing" and I have no knowledge to go deep inside OpenStack to see the problem in details.<div><br>


</div><div>Nevertheless, I can open my system for debug.</div><div><br></div><div>Also, I'll try to get more details about what's going on here...</div><div><br></div><div>Tks!</div><div>Thiago</div></div><div class="gmail_extra">


<br><br><div class="gmail_quote">On 23 December 2013 11:16, Jay Pipes <span dir="ltr"><<a href="mailto:jaypipes@gmail.com" target="_blank">jaypipes@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


<div class="im">On 12/22/2013 12:37 PM, Martinx - $B%8%'!<%`%:(B wrote:<br>


</div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">


Stackers!<br>


<br>


I need a bit help here...<br>


<br>


My OpenStack Havana (Ubuntu 12.04.3) was working smoothly and, I don't<br>


know what had happened here but, now, I'm seeing some weird problems.<br>


<br>


Right now, the "Tenant A" is seeing the VNC Consoles of "Tenant B" !!!<br>


<br>


How is that even possible?! There is no authentication here to deal with<br>


this kind of things!? I'm really worried about this.<br>


<br>


Look:<br>


<br>


"Tenant A" Instances:<br>


<br></div><div class="im">


Inline images 1<br>


<br>


<br>


"Tenant A" accessing the VNC Console of a "Tenant B" Instance!!!<br>


<br></div><div class="im">


Inline images 2<br>


<br>


<br>


This is a very serious problem, since I'm giving to the "Tenant A",<br>


almost total access to "Tenant B" Instances!! This kind of situation<br>


should NEVER occur!<br>


<br>


What can I do to completely block this?<br>


<br>


I just started a new Instance for "Tenant A", and I'm seeing ANOTHER VNC<br>


Console from "Tenant B"!!<br>


</div></blockquote>


<br>


Thiago, yes, this is indeed a major security breach. If you have not already, please create a bug in Launchpad with your image attachments and a description to reproduce the bug if you can. Please mark the bug as a security/private bug.<br>


<br>


Thank you!<span class="HOEnZb"><font color="#888888"><br>


-jay</font></span><div class="HOEnZb"><div class="h5"><br>


<br>


<br>


______________________________<u></u>_________________<br>


Mailing list: <a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack" target="_blank">http://lists.openstack.org/<u></u>cgi-bin/mailman/listinfo/<u></u>openstack</a><br>


Post to     : <a href="mailto:openstack@lists.openstack.org" target="_blank">openstack@lists.openstack.org</a><br>


Unsubscribe : <a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack" target="_blank">http://lists.openstack.org/<u></u>cgi-bin/mailman/listinfo/<u></u>openstack</a><br>


</div></div></blockquote></div><br></div>