中危 OpenStack Keystone EC2 api安全绕过漏洞

CVE编号

CVE-2013-0282

利用情况

暂无

补丁情况

官方补丁

披露时间

2013-04-13
漏洞描述
OpenStack Keystone为OpenStack系列计划提供身份、令牌、目录和策略服务的项目。Keystone的EC2式身份验证中存在安全漏洞,在验证使用EC2 api的用户之前,无法检查用户、租户、域是否已经启用。经过验证的禁用用户会因此保留应该移除的访问权限。仅启用了EC2式验证的设置受到影响。要禁用EC2验证,可在keystone.conf的keystone API pipeline中删除EC2扩展(keystone.contrib.ec2:Ec2Extension.factory)。
解决建议
openstack已经为此发布了一个安全公告(2013-005)以及相应补丁:2013-005:[openstack-announce] [OSSA 2013-005] Keystone EC2-style authentication accepts disabled user/tenants (CVE-2013-0282)http://lists.openstack.org/pipermail/openstack-announce/2013-February/000079.html补丁下载:Grizzly (development branch) fix:https://review.openstack.org/#/c/22319/Folsom fix:https://review.openstack.org/#/c/22320/Essex fix:https://review.openstack.org/#/c/22321/参考:https://bugs.launchpad.net/keystone/ bug/1121494http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2013-0282
参考链接
http://www.openwall.com/lists/oss-security/2013/02/19/3
https://bugs.launchpad.net/keystone/+bug/1121494
https://launchpad.net/keystone/+milestone/2012.2.4
https://launchpad.net/keystone/grizzly/2013.1
https://review.openstack.org/#/c/22319/
https://review.openstack.org/#/c/22320/
https://review.openstack.org/#/c/22321/
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 openstack keystone * From
(including)
2012.1 		Up to
(including)
2012.1.3
运行在以下环境
应用 openstack keystone * From
(including)
2012.2 		Up to
(including)
2012.2.4
运行在以下环境
应用 openstack keystone 2013.1 -
运行在以下环境
系统 debian_10 keystone * Up to
(excluding)
2012.1.1-13
运行在以下环境
系统 debian_11 keystone * Up to
(excluding)
2012.1.1-13
运行在以下环境
系统 debian_12 keystone * Up to
(excluding)
2012.1.1-13
运行在以下环境
系统 fedora_EPEL_6 openstack-keystone-doc * Up to
(excluding)
2012.2.3-4.el6
运行在以下环境
系统 ubuntu_12.04.5_lts keystone * Up to
(excluding)
2012.1+stable~20120824-a16a0ab9-0ubuntu2.5
阿里云评分
4.5
  • 攻击路径
    远程
  • 攻击复杂度
    复杂
  • 权限要求
    普通权限
  • 影响范围
    越权影响
  • EXP成熟度
    未验证
  • 补丁情况
    官方补丁
  • 数据保密性
    无影响
  • 数据完整性
    无影响
  • 服务器危害
    无影响
  • 全网数量
    N/A
CWE-ID 漏洞类型
CWE-287 认证机制不恰当
阿里云安全产品覆盖情况