OSSA-2014-015: Keystone 用户和组 ID 不匹配¶

日期:: 2014年5月21日
CVE:: CVE-2014-0204

影响¶

Keystone: 2014.1

描述¶

IBM 的 Michael Stancampiano 报告了 Keystone 中的一个漏洞。拥有用户和组存储库（例如 LDAP 目录服务器）写入权限的人员，可能会有意或无意地通过为用户和组选择相同的 ID 来授予额外的权限，导致分配给组的角色也被分配给受影响的用户，即使他不是该组的成员。仅使用 LDAP 作为身份驱动程序的 Keystone 设置受到影响。

补丁¶

https://review.openstack.org/#/c/94397 (Icehouse)
https://review.openstack.org/#/c/94396 (Juno)
https://review.openstack.org/#/c/94470 (Juno)

鸣谢¶

IBM 的 Michael Stancampiano (CVE-2014-0204)

参考¶

https://launchpad.net/bugs/1309228
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0204