OpenStack Glance Python客户端库输入验证漏洞

<a href="https://www.securityfocus.com/bid/61508" target="_blank">https://www.securityfocus.com/bid/61508</a><br/> <a href="http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201308-446" target="_blank">http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201308-446</a><br/>

OpenStackGlance是美国国家航空航天局（NationalAeronauticsandSpaceAdministration）和Rackspace合作研发的一个可存储、查询和检索虚拟机镜像的项目。PythonclientlibraryforGlance（python-glanceclient）是其中的一个Python客户端库。python-glanceclient0.10.0之前版本平台下的Python客户端库中存在安全漏洞。该漏洞源于程序没有正确地检验preverify_ok值，从而导致服务器主机名无法对主题的CommonName中的域名或X.509证书的subjectAltName字段中的域名进行验证。中间人攻击者可借助任意有效证书利用该漏洞欺骗SSL服务器。

来源:github.com
链接:https://github.com/openstack/python-glanceclient/blob/master/doc/source/index.rst
来源:bugs.launchpad.net
链接:https://bugs.launchpad.net/ossa/+bug/1192229
来源:SECUNIA
名称:54525
链接:http://secunia.com/advisories/54525
来源:SECUNIA
名称:54313
链接:http://secunia.com/advisories/54313
来源:SUSE
名称:openSUSE-SU-2013:1330
链接:http://lists.opensuse.org/opensuse-updates/2013-08/msg00019.html