漏洞信息详情
OpenStack Keystone Essex 授权问题漏洞
- CNNVD编号:CNNVD-201209-729
- 危害等级: 中危
- CVE编号: CVE-2012-4456
- 漏洞类型: 授权问题
- 发布时间: 2012-09-28
- 威胁类型: 远程
- 更新时间: 2012-10-12
- 厂 商: openstack
- 漏洞来源: Jason Xu
漏洞简介
OpenStack是美国国家航空航天局(National Aeronautics and Space Administration)和美国Rackspace公司合作研发的一个云平台管理项目。Grizzly是其发布的第7版本代号,它对大规模的生产环境、企业应用场景和更广泛的软件定义网络提供了更好的支持。OpenStack Keystone是其中的一个用于身份验证的项目,提供身份、令牌、目录和策略服务。
OpenStack Keystone Essex 2012.1.2之前版本和Folsom folsom-2之前版本中的(1)OS-KSADM/services和(2)tenant APIs中存在漏洞,该漏洞源于没有正确验证X-Auth-Token。远程攻击者可利用该漏洞读取任意用户的角色或获取,创建或删除任意服务。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://bugzilla.redhat.com/show_bug.cgi?id=861179
参考网址
来源: MLIST
名称: [openstack] 20120928 [OSSA 2012-015] Some actions in Keystone admin API do not validate token (CVE-2012-4456)
链接:https://lists.launchpad.net/openstack/msg17034.HTML
来源: bugs.launchpad.net
链接:https://bugs.launchpad.net/keystone/+bug/1006822
来源: MLIST
名称: [oss-security] 20120928 [OSSA 2012-015] Some actions in Keystone admin API do not validate token (CVE-2012-4456)
链接:http://www.openwall.com/lists/oss-security/2012/09/28/5
来源: github.com
链接:https://github.com/openstack/keystone/commit/868054992faa45d6f42d822bf1588cb88d7c9ccb
来源: github.com
链接:https://github.com/openstack/keystone/commit/24df3adb3f50cbb5ada411bc67aba8a781e6a431
来源: github.com
链接:https://github.com/openstack/keystone/commit/1d146f5c32e58a73a677d308370f147a3271c2cb
来源: github.com
链接:https://github.com/openstack/keystone/commit/14b136aed9d988f5a8f3e699bd4577c9b874d6c1
来源: bugzilla.redhat.com
链接:https://bugzilla.redhat.com/show_bug.cgi?id=861179
来源: bugs.launchpad.net
链接:https://bugs.launchpad.net/keystone/+bug/1006815
来源: XF
名称: keystone-xauth-sec-bypass(78944)
链接:http://xforce.iss.net/xforce/xfdb/78944
来源: BID
名称: 55716
链接:http://www.securityfocus.com/bid/55716
来源: SECUNIA
名称: 50665
链接:http://secunia.com/advisories/50665
来源:NSFOCUS 名称:20908 链接:http://www.nsfocus.net/vulndb/20908
受影响实体
- Openstack Keystone:2012.1
- Openstack Keystone:2012.1.1
- Openstack Folsom:1
- Openstack Keystone:2012.2:Milestone1
补丁
- CVE-2012-4457-keystone-988920
评论