OSSA-2015-008：Keystone 缓存后端密码在日志中泄露

OSSA-2015-008：Keystone 缓存后端密码在日志中泄露¶

日期:: 2015年5月4日
CVE:: CVE-2015-3646

影响¶

Keystone：版本至 2014.1.4，以及 2014.2 版本至 2014.2.3

描述¶

VMware 的 Eric Brown 报告了 Keystone 中的一个漏洞。backend_argument 配置选项的内容正在被记录，并且可能包含特定后端（例如 MongoDB 的密码）的敏感信息。因此，具有 Keystone 日志读取权限的攻击者可能会获取有关某些后端的敏感数据。所有 Keystone 设置都可能受到影响。

补丁¶

https://review.openstack.org/175519 (Icehouse)
https://review.openstack.org/173116 (Juno)

鸣谢¶

VMware 的 Eric Brown (CVE-2015-3646)

参考¶

说明¶

此修复将包含在未来的 2014.1.5 (icehouse) 和 2014.2.4 (juno) 版本中。
2015.1.0 (kilo) 版本不受影响。

此页面上次更新时间：2025-12-09 16:24:10

Creative Commons Attribution 3.0 License

除非另有说明，本文档根据知识共享署名 3.0 许可授权。请参阅所有 OpenStack 法律文件。