OSSA-2013-015：使用 LDAP 后端时存在身份验证绕过

OSSA-2013-015：使用 LDAP 后端时存在身份验证绕过¶

日期:: 2013年6月13日
CVE:: CVE-2013-2157

影响¶

Keystone：Folsom, Grizzly

描述¶

CERN 的 Jose Castro Leon 报告了 Keystone LDAP 后端验证用户的方式中存在一个漏洞。当提供空密码时，后端将执行匿名 LDAP 绑定，从而导致成功验证用户。因此，攻击者可以轻松冒充任何用户并获取有效的令牌。只有使用 LDAP 身份验证后端的 Keystone 设置受到影响。

补丁¶

https://review.openstack.org/#/c/32894 (Folsom)
https://review.openstack.org/#/c/32895 (Grizzly)
https://review.openstack.org/#/c/32896 (Havana)

鸣谢¶

CERN 的 Jose Castro Leon (CVE-2013-2157)

参考¶

此页面上次更新时间：2025-12-09 16:24:10

Creative Commons Attribution 3.0 License

除非另有说明，本文档根据知识共享署名 3.0 许可授权。请参阅所有 OpenStack 法律文件。