OSSA-2014-029：通过 Keystone catalog 泄露配置选项

日期:

2014年9月16日

CVE:

CVE-2014-3621

影响

• Keystone：最高至 2013.2.3 版本以及 2014.1 版本最高至 2014.1.2.1

描述

IBM 的 Brant Knudson 报告了 Keystone catalog url 替换中的一个漏洞。通过创建一个恶意端点，特权用户可能会泄露配置选项，导致敏感信息，例如 master admin_token，通过服务 url 暴露。所有允许非管理员用户创建端点的 Keystone 设置都受到影响。

补丁

• https://review.openstack.org/121891 (Havana)

• https://review.openstack.org/121890 (Icehouse)

• https://review.openstack.org/121889 (Juno)

鸣谢

• IBM 的 Brant Knudson (CVE-2014-3621)

参考

• https://launchpad.net/bugs/1354208

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3621