OSSA-2012-016：允许为已禁用租户的用户进行令牌授权

日期:

2012年9月28日

CVE:

CVE-2012-4457

影响

• Keystone：Essex（2012.1.2 之前版本），Folsom（Folsom-3 开发里程碑之前版本）

描述

Rohit Karajgi 报告了 Keystone 中的一个漏洞。有可能获取一个针对已禁用租户授权的令牌。一旦令牌在租户上建立授权，Keystone 将对来自其他 OpenStack 服务的令牌验证请求响应 200 OK，允许用户使用该租户的资源。

补丁

• https://review.openstack.org/#/c/10534 (Essex)

• https://review.openstack.org/#/c/9862 (Folsom)

鸣谢

• NTT Data 的 Rohit Karajgi (CVE-2012-4457)

参考

• https://launchpad.net/bugs/988920

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-4457