OSSA-2014-022: Keystone V2 信任通过用户提供的

OSSA-2014-022: Keystone V2 信任通过用户提供的¶

日期:: 2014年07月02日
CVE:: CVE-2014-3520

影响¶

Keystone: 最高至 2013.2.3，以及 2014.1 至 2014.1.1

描述¶

Red Hat 的 Jamie Lennox 报告了 Keystone 信任中的一个漏洞。通过使用超出范围的项目 ID，如果信任者在请求的项目 ID 中拥有所需的角色，则受托人可能会获得未经授权的访问权限。所有配置为启用信任和 V2 API 的 Keystone 部署都受到影响。

补丁¶

https://review.openstack.org/#/c/104218 (Havana)
https://review.openstack.org/#/c/104217 (Icehouse)
https://review.openstack.org/#/c/104216 (Juno)

鸣谢¶

Red Hat 的 Jamie Lennox (CVE-2014-3520)

参考¶

此页面上次更新时间：2025-12-09 16:24:10

Creative Commons Attribution 3.0 License

除非另有说明，本文档根据知识共享署名 3.0 许可授权。请参阅所有 OpenStack 法律文件。