OSSA-2013-010：Nova 默认使用不安全的 Keystone 中间件临时目录

日期:

2013年5月9日

CVE:

CVE-2013-2030

影响

• Nova：Folsom, Grizzly

描述

Red Hat 的 Grant Murphy 和 Anton Lundin 独立报告了 Nova 的 Keystone 中间件签名目录 (signing_dir) 默认位置中的一个漏洞。通过预先设置恶意目录结构，具有 Nova 节点本地 shell 访问权限的攻击者可能会发出被中间件接受的伪造令牌。 仅使用 signing_dir 默认值的配置受到影响。 请注意，未来版本的 Keystone 中间件将在使用不安全的签名目录时发出警告。

补丁

• https://review.openstack.org/#/c/28570 (Folsom)

• https://review.openstack.org/#/c/28569 (Grizzly)

• https://review.openstack.org/#/c/28568 (Havana)

鸣谢

• Red Hat 的 Grant Murphy (CVE-2013-2030)

• Anton Lundin (CVE-2013-2030)

参考

• https://launchpad.net/bugs/1174608

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2030