OpenStack Keystone EC2 api安全绕过漏洞

admin

0
文章

0
评论

2023-12-07 20:23:40 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

中危 OpenStack Keystone EC2 api安全绕过漏洞

CVE编号

CVE-2013-0282

利用情况

暂无

补丁情况

官方补丁

披露时间

2013-04-13

漏洞描述

OpenStack Keystone为OpenStack系列计划提供身份、令牌、目录和策略服务的项目。Keystone的EC2式身份验证中存在安全漏洞，在验证使用EC2 api的用户之前，无法检查用户、租户、域是否已经启用。经过验证的禁用用户会因此保留应该移除的访问权限。仅启用了EC2式验证的设置受到影响。要禁用EC2验证，可在keystone.conf的keystone API pipeline中删除EC2扩展（keystone.contrib.ec2:Ec2Extension.factory）。

解决建议

openstack已经为此发布了一个安全公告（2013-005）以及相应补丁:2013-005：[openstack-announce] [OSSA 2013-005] Keystone EC2-style authentication accepts disabled user/tenants (CVE-2013-0282)http://lists.openstack.org/pipermail/openstack-announce/2013-February/000079.html补丁下载：Grizzly (development branch) fix:https://review.openstack.org/Folsom fix:https://review.openstack.org/Essex fix:https://review.openstack.org/参考:https://bugs.launchpad.net/keystone/ bug/1121494http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2013-0282

参考链接
http://www.openwall.com/lists/oss-security/2013/02/19/3
https://bugs.launchpad.net/keystone/+bug/1121494
https://launchpad.net/keystone/+milestone/2012.2.4
https://launchpad.net/keystone/grizzly/2013.1
https://review.openstack.org/
https://review.openstack.org/
https://review.openstack.org/

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	openstack	keystone	*	From (including) 2012.1	Up to (including) 2012.1.3
	运行在以下环境
	应用	openstack	keystone	*	From (including) 2012.2	Up to (including) 2012.2.4
	运行在以下环境
	应用	openstack	keystone	2013.1	-
	运行在以下环境
	系统	debian_10	keystone	*		Up to (excluding) 2012.1.1-13
	运行在以下环境
	系统	debian_11	keystone	*		Up to (excluding) 2012.1.1-13
	运行在以下环境
	系统	debian_12	keystone	*		Up to (excluding) 2012.1.1-13
	运行在以下环境
	系统	debian_sid	keystone	*		Up to (excluding) 2012.1.1-13
	运行在以下环境
	系统	fedora_EPEL_6	openstack-keystone-doc	*		Up to (excluding) 2012.2.3-4.el6
	运行在以下环境
	系统	ubuntu_12.04.5_lts	keystone	*		Up to (excluding) 2012.1+stable~20120824-a16a0ab9-0ubuntu2.5