OSSA-2020-005：OAuth1 请求令牌授权时静默忽略 roles 参数

OSSA-2020-005：OAuth1 请求令牌授权时静默忽略 roles 参数¶

日期:: 2020 年 5 月 06 日
CVE:: CVE-2020-12690

影响¶

Keystone: <15.0.1, ==16.0.0

描述¶

kay 报告了 Keystone OAuth1 令牌 API 中的一个漏洞。为 OAuth1 访问令牌提供的角色列表会被忽略，因此当使用 OAuth1 访问令牌请求 Keystone 令牌时，Keystone 令牌将包含创建者对项目拥有的所有角色分配，而不是提供的角色子集。这导致提供的 Keystone 令牌拥有创建者意图之外的更多角色分配，可能导致意外的权限提升。

勘误¶

CVE-2020-12690 在原始发布日期之后被分配。

补丁¶

https://review.opendev.org/725894 (Rocky)
https://review.opendev.org/725892 (Stein)
https://review.opendev.org/725890 (Train)
https://review.opendev.org/725887 (Ussuri)
https://review.opendev.org/725885 (Victoria)

鸣谢¶

kay (CVE-2020-12690)

参考¶

说明¶

stable/rocky 分支处于扩展维护阶段，将不会收到新的点版本，但提供补丁作为一种礼貌。

OSSA 历史¶

2020-05-07 - 勘误 1
2020-05-06 - 原始版本

此页面上次更新时间：2025-12-09 16:24:10

Creative Commons Attribution 3.0 License

除非另有说明，本文档根据知识共享署名 3.0 许可授权。请参阅所有 OpenStack 法律文件。