OSSA-2012-002: 极长的密码可能导致 Keystone 崩溃

日期:

2012年3月27日

CVE:

CVE-2012-1572

影响

• Keystone：所有版本

描述

Dan Prince 报告了 Keystone 中的一个漏洞。他发现，通过发送一个极长的密码，可以远程触发 Keystone 崩溃。当 Keystone 验证密码时，glibc 会在堆栈上为整个密码分配空间。如果密码足够长，堆栈空间可能会耗尽，从而导致崩溃。该漏洞通过一个补丁来缓解，该补丁对密码长度施加了一个合理的限制（4 kB）。

补丁

• https://review.openstack.org/#/c/5865 (Diablo)

• https://review.openstack.org/#/c/5507 (Essex)

鸣谢

• Red Hat 的 Dan Prince (CVE-2012-1572)

参考

• https://launchpad.net/bugs/957359

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1572