OSSA-2017-001：oslo.middleware 中的 CatchErrors 泄露敏感值

OSSA-2017-001：oslo.middleware 中的 CatchErrors 泄露敏感值¶

日期:: 2017年1月26日
CVE:: CVE-2017-2592

影响¶

Oslo.middleware: <=3.8.0, >=3.9.0 <=3.19.0, >=3.20.0 <=3.23.0

描述¶

IBM 的 Divya K Konoor 报告了 oslo.middleware 中的一个漏洞。使用 CatchError 类的软件可能会在包含 Traceback 的错误消息中包含敏感值，从而导致这些值泄露。例如，完整的 API 请求（包括 Keystone token 在其头部）可能会泄露到 Neutron 错误日志中。

补丁¶

https://review.openstack.org/425734 (Mitaka)
https://review.openstack.org/425732 (Newton)
https://review.openstack.org/425730 (Ocata)

鸣谢¶

IBM 的 Divya K Konoor (CVE-2017-2592)

参考¶

此页面上次更新时间：2025-12-09 16:24:10

Creative Commons Attribution 3.0 License

除非另有说明，本文档根据知识共享署名 3.0 许可授权。请参阅所有 OpenStack 法律文件。