OpenStack Keystone Trustee令牌吊销失败安全绕过漏洞

2014-03-07T00:00:00
ID SSV:61698
Type seebug
Reporter Root
Modified 2014-03-07T00:00:00

Description

Bugtraq ID:65895 CVE ID:CVE-2014-2237

Keystone是Openstack中用于身份验证的项目,任何服务请求需要经过它的验证获得服务的endpoint。

OpenStack Keystone Keystone内存令牌后端存在漏洞,当委托人提交启用模拟的可信令牌时,令牌仅添加到委托人令牌列表,但没添加到受托人令牌列表。这会导致受托人吊销令牌时不能使信任令牌正确失效。 使用memcache后端的Keystone受此漏洞影响。 0 Openstack Keystone 2013.1 - 2013.1.4 Openstack Keystone 2013.2 - 2013.2.2 厂商补丁:

Keystone

用户可参考如下厂商提供的安全补丁以修复该漏洞: https://git.openstack.org/cgit/openstack/keystone/commit/?id=813d1254eb4f7a7d40009b23bbadbc4c5cc5daac