<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Wed, May 3, 2017 at 7:54 AM, Joseph Lorenzini <span dir="ltr">&lt;<a href="mailto:jaloren@gmail.com" target="_blank">jaloren@gmail.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">Hi all,<div><br></div><div>I came across this blog entry. It seems that there&#39;s an undocumented command line option that allows someone to execute a gluster cli command on a remote host. <br><div><br></div><div><a href="https://joejulian.name/blog/one-more-reason-that-glusterfs-should-not-be-used-as-a-saas-offering/" target="_blank">https://joejulian.name/blog/<wbr>one-more-reason-that-<wbr>glusterfs-should-not-be-used-<wbr>as-a-saas-offering/</a><br></div></div><div><br></div><div>I am on gluster 3.9 and the option is still supported. I&#39;d really like to understand why this option is still supported and what someone could do to actually mitigate this vulnerability.  Is there some configuration option I can set to turn this off for example?</div><div><br></div></div></blockquote><div><br></div><div>The --remote-host option can now be used for read-only commands. No commands that modify the cluster state or volume configuration can be executed remotely.</div><div><br></div><div>Joe&#39;s post was correct till patch at [1] changed the behavior described in the post.</div><div><br></div><div>Regards,</div><div>Vijay</div><div><br></div><div>[1] <a href="https://review.gluster.org/#/c/5280/">https://review.gluster.org/#/c/5280/</a></div></div></div></div>