CH azonosító
CH-8521Angol cím
OpenStack Keystone EC2-Style Authentication Security BypassFelfedezés dátuma
2013.02.20.Súlyosság
AlacsonyÖsszefoglaló
Az OpenStack Keystone olyan sérülékenységét jelentették, amelyet kihasználva a rosszindulatú felhasználók megkerülhetnek bizonyos biztonsági szabályokat.
Leírás
A sérülékenységet az okozza, hogy az EC2 bővítmény nem ellenőrzi az EC2 api hitelesítés előtt, hogy a felhasználók, tenant-ok vagy a domain-ek le vannak-e tiltva. Ez kihasználható például egy letiltott felhasználóként történő bejelentkezéshez valamint a visszavont jogosultságok megtartásához.
A sérülékenység sikeres kihasználásához szükséges az EC2 hitelesítés engedélyezése.
A sérülékenységeket az Essex (2012.1) valamint Folsom (2012.2) verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Authentication Issues (Hitelesítés)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: lists.openstack.org
SECUNIA 52186
CVE-2013-0282 - NVD CVE-2013-0282