OSSA-2018-002: GET /v3/OS-FEDERATION/projects 泄露项目信息

OSSA-2018-002: GET /v3/OS-FEDERATION/projects 泄露项目信息¶

日期:: 2018年7月25日
CVE:: CVE-2018-14432

影响¶

Keystone: <11.0.4, ==12.0.0, ==13.0.0

描述¶

波士顿大学的 Kristi Nikolla 报告了 Keystone 联合身份验证中的一个漏洞。通过执行 GET /v3/OS-FEDERATION/projects，经过身份验证的用户可能会发现他们无权访问的项目，从而泄露部署中的所有项目及其属性。只有启用了 policy.json 中的 /v3/OS-FEDERATION 端点的 Keystone 会受到影响。

补丁¶

https://review.openstack.org/585802 (Ocata)
https://review.openstack.org/585792 (Pike)
https://review.openstack.org/585788 (Queens)
https://review.openstack.org/585782 (Rocky)

鸣谢¶

波士顿大学的 Kristi Nikolla (CVE-2018-14432)

参考¶

此页面上次更新时间：2025-12-09 16:24:10

Creative Commons Attribution 3.0 License

除非另有说明，本文档根据知识共享署名 3.0 许可授权。请参阅所有 OpenStack 法律文件。