OpenStack Keystone 令牌验证安全限制绕过漏洞

熊崽Kevin 2013-05-12

发布日期:2013-05-09
更新日期:2013-05-12

受影响系统:
openstack Keystone
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 59787
 CVE(CAN) ID: CVE-2013-2059
 
OpenStack Keystone为OpenStack系列计划提供身份、令牌、目录和策略服务的项目。
 
Keystone (Folsom)、Keystone (Havana)、Keystone (Grizzly)存在安全漏洞。通过Keystone v2 API删除了用户后,被删除用户的令牌没有立即失效,导致这些用户还可以继续访问。
 
<*来源:Sam Stoelinga
 
  链接:https://lists.launchpad.net/openstack/msg23489.html
 *>

建议:
--------------------------------------------------------------------------------
临时解决方法:
 
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
 
* 先禁用要删除的用户,然后再删除。这样被禁用用户的令牌会立即失效。
 
厂商补丁:
 
openstack
 ---------
 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
 
http://lists.openstack.org/pipermail/openstack-announce/
 
Havana (development branch) fix:
 https://review.openstack.org/#/c/28677/
 
Grizzly fix:
 https://review.openstack.org/#/c/28678/
 
Folsom fix:
 https://review.openstack.org/#/c/28679/
 
参考:
 https://bugs.launchpad.net/keystone/+bug/1166670
 http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2013-2059

相关推荐