OpenStack Keystone Essex 授权问题漏洞

admin
admin
admin
0
文章
0
评论
2022-07-24 06:21:55 CNNVD漏洞 来源:ZONE.CI 全球网 0 阅读模式

漏洞信息详情

OpenStack Keystone Essex 授权问题漏洞

  • CNNVD编号:CNNVD-201209-729
  • 危害等级: 中危
  • CVE编号: CVE-2012-4456
  • 漏洞类型: 授权问题
  • 发布时间: 2012-09-28
  • 威胁类型: 远程
  • 更新时间: 2012-10-12
  • 厂        商: openstack
  • 漏洞来源: Jason Xu

漏洞简介

OpenStack是美国国家航空航天局(National Aeronautics and Space Administration)和美国Rackspace公司合作研发的一个云平台管理项目。Grizzly是其发布的第7版本代号,它对大规模的生产环境、企业应用场景和更广泛的软件定义网络提供了更好的支持。OpenStack Keystone是其中的一个用于身份验证的项目,提供身份、令牌、目录和策略服务。

OpenStack Keystone Essex 2012.1.2之前版本和Folsom folsom-2之前版本中的(1)OS-KSADM/services和(2)tenant APIs中存在漏洞,该漏洞源于没有正确验证X-Auth-Token。远程攻击者可利用该漏洞读取任意用户的角色或获取,创建或删除任意服务。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:

https://bugzilla.redhat.com/show_bug.cgi?id=861179

参考网址

来源: MLIST

名称: [openstack] 20120928 [OSSA 2012-015] Some actions in Keystone admin API do not validate token (CVE-2012-4456)

链接:https://lists.launchpad.net/openstack/msg17034.HTML

来源: bugs.launchpad.net

链接:https://bugs.launchpad.net/keystone/+bug/1006822

来源: MLIST

名称: [oss-security] 20120928 [OSSA 2012-015] Some actions in Keystone admin API do not validate token (CVE-2012-4456)

链接:http://www.openwall.com/lists/oss-security/2012/09/28/5

来源: github.com

链接:https://github.com/openstack/keystone/commit/868054992faa45d6f42d822bf1588cb88d7c9ccb

来源: github.com

链接:https://github.com/openstack/keystone/commit/24df3adb3f50cbb5ada411bc67aba8a781e6a431

来源: github.com

链接:https://github.com/openstack/keystone/commit/1d146f5c32e58a73a677d308370f147a3271c2cb

来源: github.com

链接:https://github.com/openstack/keystone/commit/14b136aed9d988f5a8f3e699bd4577c9b874d6c1

来源: bugzilla.redhat.com

链接:https://bugzilla.redhat.com/show_bug.cgi?id=861179

来源: bugs.launchpad.net

链接:https://bugs.launchpad.net/keystone/+bug/1006815

来源: XF

名称: keystone-xauth-sec-bypass(78944)

链接:http://xforce.iss.net/xforce/xfdb/78944

来源: BID

名称: 55716

链接:http://www.securityfocus.com/bid/55716

来源: SECUNIA

名称: 50665

链接:http://secunia.com/advisories/50665

来源:NSFOCUS 名称:20908 链接:http://www.nsfocus.net/vulndb/20908

受影响实体

  • Openstack Keystone:2012.1  
  • Openstack Keystone:2012.1.1  
  • Openstack Folsom:1  
  • Openstack Keystone:2012.2:Milestone1  

补丁

  • CVE-2012-4457-keystone-988920

weinxin
特别声明
本站(ZONE.CI)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
咨询加Q:999999999
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 安全领域涉猎者-乌云独行地带
获取本源码
售前咨询加Q:120433200
站媒体网仿《知更鸟》模板
获取本源码 zmt6.com
评论:0   参与:  0