OSSA-2016-008:Keystone Fernet Token 中的不正确 Audit ID 可能导致撤销失败¶
- 日期:
2016年5月23日
- CVE:
CVE-2016-4911
影响¶
Keystone: ==9.0.0
描述¶
Lance Bragstad (Rackspace) 报告了 Keystone Fernet Token Provider 中的一个漏洞。通过重新限定 token 的范围,用户将收到一个没有正确 audit_ids 的新 token,这些不正确的 audit_ids 将阻止整个 token 链被正确撤销。此漏洞不会影响通过其单个 audit_id 撤销 token。只有配置为使用 Fernet token 的 Keystone 部署会受到影响。
补丁¶
鸣谢¶
Lance Bragstad 来自 Rackspace (CVE-2016-4911)
参考¶
说明¶
此修复包含在 openstack/keystone 9.0.1 (mitaka) 版本中。
