发布日期:2013-02-10
更新日期:2013-02-23受影响系统:
openstack Keystone 2012.x
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 58033
CVE(CAN) ID: CVE-2013-0282
OpenStack Keystone为OpenStack系列计划提供身份、令牌、目录和策略服务的项目。
Keystone的EC2式身份验证中存在安全漏洞,在验证使用EC2 api的用户之前,无法检查用户、租户、域是否已经启用。经过验证的禁用用户会因此保留应该移除的访问权限。仅启用了EC2式验证的设置受到影响。要禁用EC2验证,可在keystone.conf的keystone API pipeline中删除EC2扩展(keystone.contrib.ec2:Ec2Extension.factory)。
<*来源:Nathanael Burton
链接:http://secunia.com/advisories/52186/
http://lists.openstack.org/pipermail/openstack-announce/2013-February/000079.html
*>建议:
--------------------------------------------------------------------------------
厂商补丁:
openstack
---------
openstack已经为此发布了一个安全公告(2013-005)以及相应补丁:
2013-005:[openstack-announce] [OSSA 2013-005] Keystone EC2-style authentication accepts disabled user/tenants (CVE-2013-0282)
链接:http://lists.openstack.org/pipermail/openstack-announce/2013-February/000079.html
补丁下载:
Grizzly (development branch) fix:
https://review.openstack.org/#/c/22319/
Folsom fix:
https://review.openstack.org/#/c/22320/
Essex fix:
https://review.openstack.org/#/c/22321/
参考:
https://bugs.launchpad.net/keystone/+bug/1121494
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2013-0282Google Chrome 多个安全漏洞SAP NetWeaver Exportability Check Service 目录遍历漏洞相关资讯 Keystone OpenStack安全漏洞
Keystone初入门知识 (08月11日) OpenStack Compute (Nova) qcow2图 (05/17/2013 20:23:58) OpenStack Keystone 密码信息泄露 (04/28/2013 06:29:35) OpenStack Keystone域范围令牌撤销 (08/08/2014 20:29:11) OpenStack Keystone 令牌验证安全 (05/12/2013 07:10:28) OpenStack PackStack 不安全文件创 (04/12/2013 21:13:08)
本文评论 查看全部评论 (0)
尊重网上道德,遵守中华人民共和国的各项有关法律法规 承担一切因您的行为而直接或间接导致的民事或刑事法律责任 本站管理人员有权保留或删除其管辖留言中的任意内容 本站有权在网站内转载或引用您的评论<
收藏该网址
易网时代-编程资源站