OSSA-2014-006：Trustee token撤销在使用memcache后端时不起作用

OSSA-2014-006：Trustee token撤销在使用memcache后端时不起作用¶

日期:: 2014年03月04日
CVE:: CVE-2014-2237

影响¶

Keystone：2013.1至2013.1.4版本以及2013.2版本至2013.2.2版本

描述¶

Metacloud的Morgan Fainberg报告了Keystone memcache token后端中的一个漏洞。当trustor发布启用 impersonation 的trust token时，该token仅被添加到trustor的token列表中，而没有添加到trustee的token列表中。这导致trustee的token撤销（批量撤销）无法使trust token失效。当trustee用户被禁用或trustee更改密码时，这一点最为明显。只有在使用memcache后端存储Keystone token的配置受到影响。

补丁¶

https://review.openstack.org/#/c/75526 (Grizzly)
https://review.openstack.org/#/c/75521 (Havana)
https://review.openstack.org/#/c/60743 (Icehouse)

鸣谢¶

Metacloud的Morgan Fainberg (CVE-2014-2237)

参考¶

此页面上次更新时间：2025-12-09 16:24:10

Creative Commons Attribution 3.0 License

除非另有说明，本文档根据知识共享署名 3.0 许可授权。请参阅所有 OpenStack 法律文件。