OSSA-2015-007: S3Token TLS 证书验证选项未被遵守

日期:

2015年4月14日

CVE:

CVE-2015-1852

影响

• Python-keystoneclient: 1.3.0 及更早版本

• Keystonemiddleware: 1.5.0 及更早版本

描述

IBM 的 Brant Knudson 报告了 keystonemiddleware (以前作为 python-keystoneclient 交付) 中的一个漏洞。当在 S3Token paste 配置文件中设置 ‘insecure’ 选项时，其值实际上会被忽略，而是被假定为 true。因此，证书验证将被禁用，使 TLS 连接容易受到中间人攻击。需要注意的是，显式添加此选项并将其设置为 false 的情况并不常见，因此该漏洞的影响被认为有限。所有配置了 TLS 设置的 s3_token 中间件版本都受到此缺陷的影响。

补丁

• https://review.openstack.org/173378 (python-keystoneclient) (Icehouse)

• https://review.openstack.org/173376 (keystonemiddleware) (Juno)

• https://review.openstack.org/173377 (python-keystoneclient) (Juno)

• https://review.openstack.org/173365 (keystonemiddleware) (Kilo)

• https://review.openstack.org/173370 (python-keystoneclient) (Kilo)

鸣谢

• IBM 的 Brant Knudson (CVE-2015-1852)

参考

• https://launchpad.net/bugs/1411063

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1852

说明

• 此修复将包含在 keystonemiddleware 1.6.0 版本和 python-keystoneclient 1.4.0 版本中。