OSSA-2012-013：缺少向租户添加用户的授权

日期:

2012年8月30日

CVE:

CVE-2012-3542

影响

• Keystone: Essex, Folsom

描述

Dolph Mathews 报告了 Keystone 中的一个漏洞。当尝试更新用户的默认租户时，如果用户没有完成此操作的授权，Keystone 只会部分拒绝该请求。API 会响应 401 未授权，并且用户的默认租户不会更改。但是，用户仍然被授予此新租户的成员资格。结果是，任何可以访问管理 API（默认部署在 35357 端口上）的客户端都可以将任何用户添加到任何租户。

补丁

• https://review.openstack.org/#/c/12194 (Essex)

• https://review.openstack.org/#/c/11869 (Folsom)

鸣谢

• Rackspace 的 Dolph Mathews (CVE-2012-3542)

参考

• https://launchpad.net/bugs/1040626

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-3542