OSSA-2013-009: Keystone PKI 令牌在线验证绕过撤销检查

日期:

2013年3月20日

CVE:

CVE-2013-1865

影响

• Keystone: Folsom

描述

惠普的 Guang Yee 报告了 Keystone PKI 令牌撤销检查中的一个漏洞。这些令牌应该使用加密检查在本地进行验证，但用户也可以选择要求服务器验证它们。在这种情况下，PKI 令牌的在线验证将绕过撤销检查，可能导致已撤销的令牌仍然被认为是有效的。只有使用 PKI 令牌在线验证的 Folsom 设置受到影响。

补丁

• https://review.openstack.org/#/c/24906 (Folsom)

鸣谢

• 惠普的 Guang Yee (CVE-2013-1865)

参考

• https://launchpad.net/bugs/1129713

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1865