发布日期:2013-05-09
更新日期:2013-05-12受影响系统:
openstack Keystone
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 59787
CVE(CAN) ID: CVE-2013-2059
OpenStack Keystone为OpenStack系列计划提供身份、令牌、目录和策略服务的项目。
Keystone (Folsom)、Keystone (Havana)、Keystone (Grizzly)存在安全漏洞。通过Keystone v2 API删除了用户后,被删除用户的令牌没有立即失效,导致这些用户还可以继续访问。
<*来源:Sam Stoelinga
链接:https://lists.launchpad.net/openstack/msg23489.html
*>建议:
--------------------------------------------------------------------------------
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 先禁用要删除的用户,然后再删除。这样被禁用用户的令牌会立即失效。
厂商补丁:
openstack
---------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://lists.openstack.org/pipermail/openstack-announce/
Havana (development branch) fix:
https://review.openstack.org/#/c/28677/
Grizzly fix:
https://review.openstack.org/#/c/28678/
Folsom fix:
https://review.openstack.org/#/c/28679/
参考:
https://bugs.launchpad.net/keystone/+bug/1166670
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2013-2059Tomcat 压缩传输编码扩展缺陷 CVE-2012-3544OpenStack Nova 不安全临时目录创建漏洞(CVE-2013-2030)相关资讯 OpenStack安全漏洞
- OpenStack Compute (Nova) qcow2图 (05/17/2013 20:23:58)
- OpenStack PackStack 不安全文件创 (04/12/2013 21:13:08)
- OpenStack Keystone PKI令牌撤销检 (03/22/2013 19:25:39)
| - OpenStack Keystone 密码信息泄露 (04/28/2013 06:29:35)
- 多个OpenStack产品拒绝服务漏洞( (04/07/2013 16:38:50)
- OpenStack PackStack 多个不安全文 (03/18/2013 14:41:51)
|
本文评论 查看全部评论 (0)
评论声明- 尊重网上道德,遵守中华人民共和国的各项有关法律法规
- 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
- 本站管理人员有权保留或删除其管辖留言中的任意内容
- 本站有权在网站内转载或引用您的
|
易网时代-编程资源站