OSSA-2013-025：使用 Keystone memcache/KVS 后端时的 Token 撤销失败

日期:

2013年9月11日

CVE:

CVE-2013-4294

影响

• Keystone：Folsom, Grizzly

描述

墨尔本大学的 Kieran Spear 报告了 Keystone memcache 和 KVS token 后端中的一个漏洞。存储在 PKI token 撤销列表中的是整个 token 而不是 token ID，导致比较失败，最终导致已撤销的 PKI token 仍然被认为是有效的。只有使用 PKI token 和 memcache 或 KVS token 后端的 Folsom 和 Grizzly Keystone 设置受到影响。Havana 设置、使用 UUID token 的设置，或使用 PKI token 和 SQL token 后端的设置均不受影响。

补丁

• https://review.openstack.org/#/c/46080 (Folsom)

• https://review.openstack.org/#/c/46079 (Grizzly)

鸣谢

• 墨尔本大学的 Kieran Spear (CVE-2013-4294)

参考

• https://launchpad.net/bugs/1202952

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4294