OSSA-2014-021：pyCADF 通知中间件中用户令牌泄露至消息队列

OSSA-2014-021：pyCADF 通知中间件中用户令牌泄露至消息队列¶

日期:: 2014年6月25日
CVE:: CVE-2014-4615

影响¶

Neutron：2014.1 版本至 2014.1.1
Ceilometer：2013.2 版本至 2013.2.3，2014.1 版本至 2014.1.1

描述¶

IBM 的 Zhi Kun Liu 报告了 PyCADF 库中提供的通知中间件以及之前复制到 Neutron 和 Ceilometer 代码中的一个漏洞。具有消息队列读取权限的攻击者可能会获取通过通知中间件传递的 REST 请求中使用的身份验证令牌 (X_AUTH_TOKEN)。配置在 auth_token 中间件管道之后的任何使用通知中间件的服务都会受到影响。

补丁¶

https://review.openstack.org/#/c/101799 (Havana)
https://review.openstack.org/#/c/101097 (Icehouse)
https://review.openstack.org/#/c/96944 (Icehouse)
https://review.openstack.org/#/c/94891 (Juno)

鸣谢¶

IBM 的 Zhi Kun Liu (CVE-2014-4615)

参考¶

此页面上次更新时间：2025-12-09 16:24:10

Creative Commons Attribution 3.0 License

除非另有说明，本文档根据知识共享署名 3.0 许可授权。请参阅所有 OpenStack 法律文件。