OSSA-2021-003：账户锁定中的账户名称和 UUID 预言机

日期:

2021 年 8 月 10 日

CVE:

CVE-2021-38155

影响

• Keystone：>=10.0.0 <16.0.2，>=17.0.0 <17.0.1，>=18.0.0 <18.0.1，>=19.0.0 <19.0.1

描述

Oi Cloud 的 Samuel de Medeiros Queiroz 报告了一个影响 Keystone 账户锁定的漏洞。通过猜测账户名称并多次身份验证失败，任何未经验证的攻击者都可以确认账户存在并获取该账户对应的 UUID，这可能会被用于其他无关的攻击。所有启用 security_compliance.lockout_failure_attempts 的 Keystone 部署都受到影响。

补丁

• https://review.opendev.org/790444 (Train)

• https://review.opendev.org/790443 (Ussuri)

• https://review.opendev.org/790442 (Victoria)

• https://review.opendev.org/790440 (Wallaby)

• https://review.opendev.org/759940 (Xena)

鸣谢

• Oi Cloud 的 Samuel de Medeiros Queiroz (CVE-2021-38155)

参考

• https://launchpad.net/bugs/1688137

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-38155