漏洞信息详情
OpenStack Keystone 不安全文件权限漏洞
- CNNVD编号:CNNVD-201304-449
- 危害等级: 低危
- CVE编号: CVE-2013-1977
- 漏洞类型: 权限许可和访问控制
- 发布时间: 2013-04-22
- 威胁类型: 本地
- 更新时间: 2013-05-23
- 厂 商: openstack
- 漏洞来源: Xu Han Peng
漏洞简介
OpenStack是美国国家航空航天局(National Aeronautics and Space Administration)和美国Rackspace公司合作研发的一个云平台管理项目。Grizzly是其发布的第7版本代号,它对大规模的生产环境、企业应用场景和更广泛的软件定义网络提供了更好的支持。OpenStack Keystone是其中的一个用于身份验证的项目,提供身份、令牌、目录和策略服务。
OpenStack devstack中存在漏洞,该漏洞源于程序对keystone.conf使用了全局可读权限。本地攻击者可通过读取文件利用该漏洞获得敏感信息,如LDAP密码和admin_token秘密。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://bugs.launchpad.net/devstack/+bug/1168252
参考网址
来源: bugs.launchpad.net
链接:https://bugs.launchpad.net/devstack/+bug/1168252
来源: MLIST
名称: [oss-security] 20130423 Re: CVE-2013-1977 - OpenStack keystone.conf insecure file permissions
链接:http://www.openwall.com/lists/oss-security/2013/04/23/7
来源: MLIST
名称: [oss-security] 20130419 CVE-2013-1977 - OpenStack keystone.conf insecure file permissions
链接:http://www.openwall.com/lists/oss-security/2013/04/19/2
来源: BID
名称: 59310
链接:http://www.securityfocus.com/bid/59310
受影响实体
- Openstack Devstack:-
补丁
暂无
评论