漏洞信息详情
OpenStack Keystone 令牌验证安全绕过漏洞
- CNNVD编号:CNNVD-201209-730
- 危害等级: 中危
- CVE编号: CVE-2012-4457
- 漏洞类型: 授权问题
- 发布时间: 2012-09-28
- 威胁类型: 远程
- 更新时间: 2012-10-12
- 厂 商: openstack
- 漏洞来源: Jason Xu
漏洞简介
OpenStack是美国国家航空航天局(National Aeronautics and Space Administration)和美国Rackspace公司合作研发的一个云平台管理项目。Grizzly是其发布的第7版本代号,它对大规模的生产环境、企业应用场景和更广泛的软件定义网络提供了更好的支持。OpenStack Keystone是其中的一个用于身份验证的项目,提供身份、令牌、目录和策略服务。
OpenStack Keystone Essex 2012.1.2之前版本和Folsom folsom-3之前版本中存在漏洞,该漏洞源于没有正确处理禁用租户的授权令牌。远程认证攻击者可利用该漏洞通过请求租户令牌,访问租户的资源。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://bugzilla.redhat.com/show_bug.cgi?id=861180
参考网址
来源: MLIST
名称: [openstack] 20120928 [OSSA 2012-016] Token authorization for a user in a disabled tenant is allowed (CVE-2012-4457)
链接:https://lists.launchpad.net/openstack/msg17035.HTML
来源: github.com
链接:https://github.com/openstack/keystone/commit/5373601bbdda10f879c08af1698852142b75f8d5
来源: github.com
链接:https://github.com/openstack/keystone/commit/4ebfdfaf23c6da8e3c182bf3ec2cb2b7132ef685
来源: bugzilla.redhat.com
链接:https://bugzilla.redhat.com/show_bug.cgi?id=861180
来源: XF
名称: keystone-xauth-token-sec-bypass(78947)
链接:http://xforce.iss.net/xforce/xfdb/78947
来源: BID
名称: 55716
链接:http://www.securityfocus.com/bid/55716
来源: MLIST
名称: [oss-security] 20120928 [OSSA 2012-016] Token authorization for a user in a disabled tenant is allowed (CVE-2012-4457)
链接:http://www.openwall.com/lists/oss-security/2012/09/28/6
来源: SECUNIA
名称: 50665
链接:http://secunia.com/advisories/50665
来源:NSFOCUS 名称:20908 链接:http://www.nsfocus.net/vulndb/20908
受影响实体
- Openstack Folsom:2
- Openstack Folsom:1
- Openstack Keystone:2012.1
- Openstack Keystone:2012.1.1
- Openstack Keystone:2012.2:Milestone2
补丁
- CVE-2012-4457-keystone-988920
评论