漏洞信息详情
OpenStack Keystone Tokens 安全绕过漏洞
- CNNVD编号:CNNVD-201305-207
- 危害等级: 中危
- CVE编号: CVE-2013-2059
- 漏洞类型: 授权问题
- 发布时间: 2013-05-10
- 威胁类型: 远程
- 更新时间: 2013-05-22
- 厂 商: openstack
- 漏洞来源: Sam Stoelinga
漏洞简介
OpenStack是美国国家航空航天局(National Aeronautics and Space Administration)和美国Rackspace公司合作研发的一个云平台管理项目。Grizzly是其发布的第7版本代号,它对大规模的生产环境、企业应用场景和更广泛的软件定义网络提供了更好的支持。OpenStack Keystone是其中的一个用于身份验证的项目,提供身份、令牌、目录和策略服务。
OpenStack Identity (Keystone) Folsom 2012.2.4和之前的版本,Grizzly 2013.1.1之前的版本,Havana中存在漏洞,该漏洞源于通过Keystone v2 API删除用户时,程序不立即撤销认证令牌。远程经过认证的攻击者可通过令牌利用该漏洞继续访问。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://osdir.com/ml/openstack-cloud-computing/2013-05/msg00300.HTML
参考网址
来源: bugs.launchpad.net
链接:https://bugs.launchpad.net/keystone/+bug/1166670
来源: XF
名称: keystone-cve20132059-security-bypass(84135)
链接:http://xforce.iss.net/xforce/xfdb/84135
来源: BID
名称: 59787
链接:http://www.securityfocus.com/bid/59787
来源: MLIST
名称: [oss-security] 20130509 RE: [Openstack] [OSSA 2013-011] Keystone tokens not immediately invalidated when user is deleted (CVE-2013-2059)
链接:http://www.openwall.com/lists/oss-security/2013/05/09/4
来源: MLIST
名称: [oss-security] 20130509 [OSSA 2013-011] Keystone tokens not immediately invalidated when user is deleted (CVE-2013-2059)
链接:http://www.openwall.com/lists/oss-security/2013/05/09/3
来源: SECUNIA
名称: 53339
链接:http://secunia.com/advisories/53339
来源: SECUNIA
名称: 53326
链接:http://secunia.com/advisories/53326
来源: OSVDB
名称: 93134
链接:http://osvdb.org/93134
来源:SECUNIA
名称:53416
链接:http://secunia.com/advisories/53416
受影响实体
- Openstack Keystone:2012.1
- Openstack Keystone:2013.1
补丁
- keystone-2013.1.1
- keystone-2012.2.4
评论