OSSA-2020-003: Keystone 未检查 EC2 凭证认证方法的签名 TTL

OSSA-2020-003: Keystone 未检查 EC2 凭证认证方法的签名 TTL¶

日期:: 2020 年 5 月 06 日
CVE:: CVE-2020-12692

影响¶

Keystone: <15.0.1, ==16.0.0

描述¶

kay 报告了 keystone 的 EC2 API 中的一个漏洞。Keystone 没有对 AWS 签名 V4 进行签名 TTL 检查，攻击者可以嗅探认证头，然后无限次地重新颁发 OpenStack token。

勘误¶

CVE-2020-12692 在原始发布日期之后被分配。

补丁¶

https://review.opendev.org/725385 (Rocky)
https://review.opendev.org/725069 (Stein)
https://review.opendev.org/724954 (Train)
https://review.opendev.org/724746 (Ussuri)
https://review.opendev.org/724124 (Victoria)

鸣谢¶

kay (CVE-2020-12692)

参考¶

说明¶

stable/rocky 分支处于扩展维护阶段，将不会收到新的点版本，但提供补丁作为一种礼貌。

OSSA 历史¶

2020-05-07 - 勘误 1
2020-05-06 - 原始版本

此页面上次更新时间：2025-12-09 16:24:10

Creative Commons Attribution 3.0 License

除非另有说明，本文档根据知识共享署名 3.0 许可授权。请参阅所有 OpenStack 法律文件。