OpenStack Keystone令牌撤销失败安全绕过漏洞
发布日期:2013-09-11
更新日期:2013-09-13
受影响系统:
openstack Keystone
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 62331
CVE(CAN) ID: CVE-2013-4294
OpenStack Keystone为OpenStack系列计划提供身份、令牌、目录和策略服务的项目。
Keystone (Folsom及Grizzly) memcache及KVS令牌后端存在安全漏洞,PKI令牌撤销列表保存了整个令牌,而非令牌ID,触发比较失败,最终造成已经撤销的PKI令牌仍被视为有效。仅使用了带memcache或KVS令牌后端的PKI令牌的Folsom及Grizzly Keystone设置受到影响。
<*来源:Kieran Spear
链接:http://seclists.org/oss-sec/2013/q3/586
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
openstack
---------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://lists.openstack.org/pipermail/openstack-announce/
Grizzly fix:
https://review.openstack.org/#/c/46080/
Folsom fix:
https://review.openstack.org/#/c/46079/
参考:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4294
https://bugs.launchpad.net/keystone/+bug/1202952
相关阅读: