OpenStack Keystone Tokens 安全绕过漏洞

漏洞信息详情

OpenStack Keystone Tokens 安全绕过漏洞

• CNNVD编号：CNNVD-201305-207
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2013-2059
  
• 漏洞类型：
  
  
  授权问题
  
• 发布时间：
  
  2013-05-10
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2013-05-22
  
• 厂        商：
  
  openstack
• 漏洞来源：
  Sam Stoelinga

OpenStack是美国国家航空航天局（National Aeronautics and Space Administration）和美国Rackspace公司合作研发的一个云平台管理项目。Grizzly是其发布的第7版本代号，它对大规模的生产环境、企业应用场景和更广泛的软件定义网络提供了更好的支持。OpenStack Keystone是其中的一个用于身份验证的项目，提供身份、令牌、目录和策略服务。

OpenStack Identity (Keystone) Folsom 2012.2.4和之前的版本，Grizzly 2013.1.1之前的版本，Havana中存在漏洞，该漏洞源于通过Keystone v2 API删除用户时，程序不立即撤销认证令牌。远程经过认证的攻击者可通过令牌利用该漏洞继续访问。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://osdir.com/ml/openstack-cloud-computing/2013-05/msg00300.html

来源: bugs.launchpad.net

链接:https://bugs.launchpad.net/keystone/+bug/1166670

来源: XF

名称: keystone-cve20132059-security-bypass(84135)

链接:http://xforce.iss.net/xforce/xfdb/84135

来源: BID

名称: 59787

链接:http://www.securityfocus.com/bid/59787

来源: MLIST

名称: [oss-security] 20130509 RE: [Openstack] [OSSA 2013-011] Keystone tokens not immediately invalidated when user is deleted (CVE-2013-2059)

链接:http://www.openwall.com/lists/oss-security/2013/05/09/4

来源: MLIST

名称: [oss-security] 20130509 [OSSA 2013-011] Keystone tokens not immediately invalidated when user is deleted (CVE-2013-2059)

链接:http://www.openwall.com/lists/oss-security/2013/05/09/3

来源: SECUNIA

名称: 53339

链接:http://secunia.com/advisories/53339

来源: SECUNIA

名称: 53326

链接:http://secunia.com/advisories/53326

来源: OSVDB

名称: 93134

链接:http://osvdb.org/93134

来源:SECUNIA

名称:53416

链接:http://secunia.com/advisories/53416