OpenStack Keystone EC2-style令牌校验特权提升漏洞

2013-12-16T00:00:00
ID SSV:61131
Type seebug
Reporter Root
Modified 2013-12-16T00:00:00

Description

Bugtraq ID:64253 CVE ID:CVE-2013-6391

Keystone是Openstack中用于身份验证的项目,任何服务请求需要经过它的验证获得服务的endpoint。

OpenStack Keystone在使用trust-scoped令牌生成EC2验证凭据时ec2tokens API存在一个安全漏洞,允许远程利用漏洞访问其他受限委托人角色(trustor's roles),提升权限。 要成功利用漏洞需要应用启用了EC2-style验证。 0 OpenStack Keystone 2013.x 目前厂商暂无提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.openstack.org/