漏洞信息详情

OpenStack Keystone Tokens 安全绕过漏洞

• CNNVD编号：CNNVD-201305-207
• 危害等级： 中危
  
• CVE编号： CVE-2013-2059
• 漏洞类型： 授权问题
• 发布时间： 2013-05-10
• 威胁类型： 远程
• 更新时间： 2013-05-22
• 厂        商： openstack
• 漏洞来源： Sam Stoelinga

漏洞简介

OpenStack是美国国家航空航天局（National Aeronautics and Space Administration）和美国Rackspace公司合作研发的一个云平台管理项目。Grizzly是其发布的第7版本代号，它对大规模的生产环境、企业应用场景和更广泛的软件定义网络提供了更好的支持。OpenStack Keystone是其中的一个用于身份验证的项目，提供身份、令牌、目录和策略服务。

OpenStack Identity (Keystone) Folsom 2012.2.4和之前的版本，Grizzly 2013.1.1之前的版本，Havana中存在漏洞，该漏洞源于通过Keystone v2 API删除用户时，程序不立即撤销认证令牌。远程经过认证的攻击者可通过令牌利用该漏洞继续访问。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://osdir.com/ml/openstack-cloud-computing/2013-05/msg00300.HTML

参考网址

来源: bugs.launchpad.net

链接:https://bugs.launchpad.net/keystone/+bug/1166670

来源: XF

名称: keystone-cve20132059-security-bypass(84135)

链接:http://xforce.iss.net/xforce/xfdb/84135

来源: BID

名称: 59787

链接:http://www.securityfocus.com/bid/59787

来源: MLIST

名称: [oss-security] 20130509 RE: [Openstack] [OSSA 2013-011] Keystone tokens not immediately invalidated when user is deleted (CVE-2013-2059)

链接:http://www.openwall.com/lists/oss-security/2013/05/09/4

来源: MLIST

名称: [oss-security] 20130509 [OSSA 2013-011] Keystone tokens not immediately invalidated when user is deleted (CVE-2013-2059)

链接:http://www.openwall.com/lists/oss-security/2013/05/09/3

来源: SECUNIA

名称: 53339

链接:http://secunia.com/advisories/53339

来源: SECUNIA

名称: 53326

链接:http://secunia.com/advisories/53326

来源: OSVDB

名称: 93134

链接:http://osvdb.org/93134

来源:SECUNIA

名称:53416

链接:http://secunia.com/advisories/53416

受影响实体

• Openstack Keystone:2012.1  
• Openstack Keystone:2013.1  

补丁

• keystone-2012.2.4
• keystone-2013.1.1