注意

本文档适用于 Ceph 开发版本。

报告文档错误

CVE-2021-3524: 通过 CORS 在 RGW 中注入 HTTP 头部

• NIST信息页面

在radosgw中发现了一个漏洞。该漏洞与通过CORS ExposeHeader标签注入HTTP头有关。CORS配置文件中ExposeHeader标签中的r字符在CORS请求发出时会在响应中生成头注入。

修复版本

• Pacific v16.2.4（及更高版本）

• Octopus v15.2.12（及更高版本）

• Nautilus v14.2.21（及更高版本）

建议

所有Ceph对象存储（RGW）用户应升级。

致谢

Red Hat感谢Sergey Bobrov（Kaspersky）报告此问题。

由 Ceph 基金会带给您

Ceph 文档是一个社区资源，由非盈利的 Ceph 基金会资助和托管Ceph Foundation. 如果您想支持这一点和我们的其他工作，请考虑加入现在加入.