OSSA-2013-017：Keystone 中间件 memcache 签名/加密功能存在问题

OSSA-2013-017：Keystone 中间件 memcache 签名/加密功能存在问题¶

日期:: 2013 年 6 月 19 日
CVE:: CVE-2013-2166, CVE-2013-2167

影响¶

Python-keystoneclient：0.2.3 版本至 0.2.5 版本

描述¶

来自 Nebula 的 Paul McMillan 报告了 Keystone 客户端中间件中 memcache 签名/加密功能实现中的多个问题。攻击者如果可以直接写入 memcache 后端（或处于中间人位置），则可以插入恶意数据，并可能绕过指定的加密 (CVE-2013-2166) 或签名 (CVE-2013-2167) 安全策略。只有使用 memcache 缓存的 Keystone 中间件配置（指定 memcache_servers）并使用 ENCRYPT 或 MAC 作为 memcache_security_strategy 的设置才会受到影响。

补丁¶

https://review.openstack.org/#/c/33661 (Python-keystoneclient-0.2.6)

鸣谢¶

来自 Nebula 的 Paul McMillan (CVE-2013-2166, CVE-2013-2167)

参考¶

此页面上次更新时间：2025-12-09 16:24:10

Creative Commons Attribution 3.0 License

除非另有说明，本文档根据知识共享署名 3.0 许可授权。请参阅所有 OpenStack 法律文件。