OSSA-2012-010:各种 Keystone token 过期问题

日期:

2012 年 7 月 27 日

CVE:

CVE-2012-3426

影响

  • Keystone: Essex, Folsom

描述

Derek Higgins 报告了影响 Keystone token 过期的各种问题。可以通过持续创建新的 token 来绕过 token 过期日期,在旧 token 过期之前。现有 token 在用户帐户被禁用或帐户密码更改后仍然有效。经过身份验证和授权的用户可能会利用这些漏洞来延长其访问权限,超出帐户所有者的预期。

补丁

鸣谢

  • Derek Higgins (CVE-2012-3426)

参考