OSSA-2014-030：paste 配置文件中未遵守 TLS 证书验证选项

OSSA-2014-030：paste 配置文件中未遵守 TLS 证书验证选项¶

日期:: 2014年9月25日
CVE:: CVE-2014-7144

影响¶

Keystonemiddleware：版本最高至 1.1.1
Python-keystoneclient：版本最高至 0.10.1

描述¶

IBM 的 Qin Zhao 报告了 keystonemiddleware（以前作为 python-keystoneclient 交付）中的一个漏洞。当在 paste 配置文件中设置“insecure”选项时，无论其值为何，该选项实际上会被忽略。因此，证书验证将被禁用，使 TLS 连接容易受到中间人攻击。所有通过 paste.ini 文件配置 TLS 设置的 keystonemiddleware 版本都受到此缺陷的影响。

补丁¶

https://review.openstack.org/113191 (Keystonemiddleware-1.2.0)
https://review.openstack.org/112232 (Python-keystone-0.11.0)

鸣谢¶

IBM 的 Qin Zhao (CVE-2014-7144)

参考¶

此页面上次更新时间：2025-12-09 16:24:10

Creative Commons Attribution 3.0 License

除非另有说明，本文档根据知识共享署名 3.0 许可授权。请参阅所有 OpenStack 法律文件。