OSSA-2012-014：撤销角色不会影响现有令牌

日期:

2012年9月12日

CVE:

CVE-2012-4413

影响

• Keystone: Essex, Folsom

描述

Dolph Mathews 报告了 Keystone 中的一个漏洞。授予和撤销用户的角色不会反映在现有令牌的验证中。现有令牌将继续对原始角色集合有效，直到令牌的生命周期结束或被显式失效。此修复程序会在授予/撤销角色时使用户持有的所有令牌失效，以规避此问题。

补丁

• https://review.openstack.org/#/c/12870 (Essex)

• https://review.openstack.org/#/c/12868 (Folsom)

鸣谢

• 来自 Rackspace 的 Dolph Mathews (CVE-2012-4413)

参考

• https://launchpad.net/bugs/1041396

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-4413