OSSA-2025-002：EC2/S3 token 端点未经验证的访问可能授予 Keystone 授权

日期:

2025年11月04日

CVE:

CVE-2025-65073

影响

• Keystone: <26.0.1, ==27.0.0, ==28.0.0

描述

kay 报告了 Keystone 的 ec2tokens 和 s3tokens API 中的一个漏洞。通过向这些端点发送有效的 AWS 签名（例如来自预签名 S3 URL），未经身份验证的攻击者可以获得与签名关联用户的 Keystone 授权（ec2tokens 可以产生完全作用域的 token；s3tokens 可以揭示某些服务接受的作用域），从而导致未经授权的访问和权限提升。如果 /v3/ec2tokens 或 /v3/s3tokens 可被未经身份验证的客户端访问（例如暴露在公共 API 上），则部署会受到影响。

勘误

CVE-2025-65073 是在发布后由 MITRE 根据 2025-09-24 提交的请求（几个月前）分配的；如果任何其他 CNA 在此期间自行分配了 CVE，请拒绝它，以免出现重复。此外，描述已扩展，以明确 token 的所有权。对未维护/2024.1 分支的反向移植补丁现在已包含在内。

补丁

• https://review.opendev.org/966871 (2024.1/caracal(keystone))

• https://review.opendev.org/966068 (2024.1/caracal(swift))

• https://review.opendev.org/966073 (2024.2/dalmatian(keystone))

• https://review.opendev.org/966067 (2024.2/dalmatian(swift))

• https://review.opendev.org/966071 (2025.1/epoxy(keystone))

• https://review.opendev.org/966064 (2025.1/epoxy(swift))

• https://review.opendev.org/966070 (2025.2/flamingo(keystone))

• https://review.opendev.org/966063 (2025.2/flamingo(swift))

• https://review.opendev.org/966069 (2026.1/gazpacho(keystone))

• https://review.opendev.org/966062 (2026.1/gazpacho(swift))

鸣谢

• kay (CVE-2025-65073)

参考

• https://launchpad.net/bugs/2119646

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-65073

说明

• 虽然指示的 Keystone 补丁足以缓解此漏洞，但包含相应的 Swift 更改，以保持其可选的 S3 类似 API 正常工作。

• 未维护/2024.1 分支将不会收到新的点版本，但作为一种礼貌，提供了针对它们的补丁。

OSSA 历史

• 2025-11-17 - 勘误 1

• 2025-11-04 - 原始版本