OSSA-2019-006：凭证 API 允许列出和检索所有用户的凭证

日期:

2019年12月09日

CVE:

CVE-2019-19687

影响

• Keystone: ==15.0.0, ==16.0.0

描述

Daniel Preussker 报告了 Keystone 的列出凭证 API 中的一个漏洞。当 [oslo_policy] enforce_scope 为 false 时，任何在项目上拥有角色的用户都可以使用 /v3/credentials API 列出任何凭证。在项目上拥有角色的用户能够查看其他用户的凭证，这可能会泄露基于时间的一次性密码 (TOTP) 或其他登录信息。将 [oslo_policy] enforce_scope 设置为 false 的 Keystone 部署受到影响。修复此问题后，列出凭证 API 的性能会略有下降。

补丁

• https://review.opendev.org/697731 (Stein)

• https://review.opendev.org/697611 (Train)

• https://review.opendev.org/697355 (Ussuri)

鸣谢

• Daniel Preussker (CVE-2019-19687)

参考

• https://bugs.launchpad.net/keystone/+bug/1855080

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19687