OSSA-2013-011: Keystone tokens 未在用户删除时立即失效

日期:

2013年5月9日

CVE:

CVE-2013-2059

影响

• Keystone：所有版本

描述

Sam Stoelinga 报告了 Keystone 中的一个漏洞。当用户通过 Keystone v2 API 删除时，这些用户的现有 token 并未立即失效，而会在 token 的有效期内保持有效（默认情况下，最长 24 小时）。这可能导致用户在系统管理员认为他们已被禁用时仍然可以访问系统。可以通过在删除用户之前禁用用户来规避此问题：在这种情况下，禁用用户所属的 token 将立即失效。使用 v3 API 调用删除用户的 Keystone 设置不受影响。

补丁

• https://review.openstack.org/#/c/28679 (Folsom)

• https://review.openstack.org/#/c/28678 (Grizzly)

• https://review.openstack.org/#/c/28677 (Havana)

鸣谢

• Sam Stoelinga (CVE-2013-2059)

参考

• https://launchpad.net/bugs/1166670

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2059