开源平台Openstack的身份验证模块Keystone出现 安全绕过漏洞 ,黑客如果成功利用漏洞,可能绕过某些预期的安全限制,并执行未经授权的操作,并发动进一步的攻击。
影响范围
OpenStack Kesytone 10.0.0, 10.0.1 and 11.0.0 均受影响,其它版本也可能受影响。目前漏洞利用工具已经开始流传。
Keystone是什么
Keystone(OpenStack Identity Service)是 OpenStack 框架中负责管理身份验证、服务规则和服务令牌功能的模块。用户访问资源需要验证用户的身份与权限,服务执行操作也需要进行权限检测,这些都需要通过 Keystone 来处理。
解决方案
官方已经给出升级补丁。
参考信息
- [OSSA-2017-004] federated user gets wrong role (CVE-2017-2673) (Seclists.org)
- OpenStack Keystone Homepage (OpenStack )
- Bug 1439586 - (CVE-2017-2673) CVE-2017-2673 openstack-keystone: Incorrect role (Redhat)
更多信息
| Bugtraq ID: | 98032 |
| Class: | Configuration Error |
| CVE: | CVE-2017-2673 |
| Remote: | Yes |
| Local: | No |
| Published: | Apr 25 2017 12:00AM |
| Updated: | Apr 27 2017 12:10AM |
| Credit: | Boris Bobrov from Mail.Ru. |
| Vulnerable: | Redhat OpenStack Platform 9.0 Redhat OpenStack Platform 11 Redhat OpenStack Platform 10 OpenStack Keystone 11.0 OpenStack Keystone 10.0.1 OpenStack Keystone 10.0 |