OSSA-2013-014: Keystone PKI 令牌验证中缺少过期时间检查

日期:

2013年5月28日

CVE:

CVE-2013-2104

影响

• Keystone: Folsom

• Python-keystoneclient: 0.2.0 版本之后

描述

来自 Red Hat 的 Eoghan Glynn 和来自 Rackspace 的 Alex Meade 报告了 Keystone 身份验证中间件中 PKI 令牌过期时间检查中的一个漏洞。经过身份验证的用户过期的令牌仍可能被使用，可能导致绕过预期的安全策略。当令牌过期时，PKI 令牌撤销的效果也会被反转，这意味着被撤销的令牌再次被视为有效。只有使用 PKI 令牌的设置会受到影响。

补丁

• https://review.openstack.org/#/c/30743 (Folsom)

• https://review.openstack.org/#/c/30742 (Python-keystone-0.2.4)

鸣谢

• 来自 Red Hat 的 Eoghan Glynn (CVE-2013-2104)

• 来自 Rackspace 的 Alex Meade (CVE-2013-2104)

参考

• https://launchpad.net/bugs/1179615

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2104