OSSA-2016-005: 已撤销的身份令牌潜在重用

日期:

2016年1月29日

CVE:

CVE-2015-7546

影响

• Keystone: <= 2015.1.2, >= 8.0.0 <= 8.0.1

• Keystonemiddleware: >= 1.5.0 <= 1.5.3, >= 1.6.0 <= 2.3.2

描述

Liu Sheng 报告了 Keystone 中的一个漏洞。通过操纵令牌内容，经过身份验证的用户可能会阻止其撤销。如果攻击者截获已撤销的令牌，这可能允许未经授权访问云资源。仅使用 PKI 或 PKIZ 令牌的 Keystone 设置受到影响

补丁

• https://review.openstack.org/266045 (keystone) (Kilo)

• https://review.openstack.org/266607 (keystonemiddleware) (Kilo)

• https://review.openstack.org/266022 (keystone) (Liberty)

• https://review.openstack.org/265988 (keystonemiddleware) (Liberty)

• https://review.openstack.org/258141 (keystone) (Mitaka)

• https://review.openstack.org/258143 (keystonemiddleware) (Mitaka)

鸣谢

• Liu Sheng 来自华为 (CVE-2015-7546)

参考

• https://bugs.launchpad.net/bugs/1490804

• https://wiki.openstack.org/wiki/OSSN/OSSN-0062

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7546

说明

• Keystone 的修复包含在 2015.1.3 (Kilo) 中，并将包含在未来的 8.0.2 (Liberty) 版本中。

• Keystonemiddleware 的修复将包含在未来的 1.5.4 (Kilo) 和 2.3.3 (Liberty) 版本中。

• Keystone 和 Keystonemiddleware 都需要更新