OSSA-2012-015：Keystone 管理 API 中的某些操作未验证令牌

日期:

2012 年 9 月 28 日

CVE:

CVE-2012-4456

影响

• Keystone：Essex（2012.1.2 之前版本），Folsom（Folsom-2 开发里程碑之前版本）

描述

Jaxon Xu 报告了 Keystone 中的一个漏洞。两个管理 API 操作不需要有效的令牌。第一个是列出用户的角色。第二个是获取、创建和删除服务的能力。

补丁

• https://review.openstack.org/#/c/9014 (Essex)

• https://review.openstack.org/#/c/9015 (Essex)

• https://review.openstack.org/#/c/8104 (Folsom)

• https://review.openstack.org/#/c/8105 (Folsom)

鸣谢

• Jason Xu (CVE-2012-4456)

参考

• https://launchpad.net/bugs/1006815

• https://launchpad.net/bugs/1006822

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-4456