OpenStack Keystone令牌撤销失败安全绕过漏洞

熊崽Kevin 2013-09-13

发布日期:2013-09-11
更新日期:2013-09-13

受影响系统:
openstack Keystone
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 62331
CVE(CAN) ID: CVE-2013-4294

OpenStack Keystone为OpenStack系列计划提供身份、令牌、目录和策略服务的项目。

Keystone (Folsom及Grizzly) memcache及KVS令牌后端存在安全漏洞,PKI令牌撤销列表保存了整个令牌,而非令牌ID,触发比较失败,最终造成已经撤销的PKI令牌仍被视为有效。仅使用了带memcache或KVS令牌后端的PKI令牌的Folsom及Grizzly Keystone设置受到影响。

<*来源:Kieran Spear
 
  链接:http://seclists.org/oss-sec/2013/q3/586
*>

建议:
--------------------------------------------------------------------------------
厂商补丁:

openstack
---------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://lists.openstack.org/pipermail/openstack-announce/

Grizzly fix:
https://review.openstack.org/#/c/46080/

Folsom fix:
https://review.openstack.org/#/c/46079/

参考:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4294
https://bugs.launchpad.net/keystone/+bug/1202952

相关阅读

相关推荐