| 概要 | OpenStack Keystone before 2012.1.1, as used in OpenStack Folsom before Folsom-1 and OpenStack Essex, does not properly implement token expiration, which allows remote authenticated users to bypass intended authorization restrictions by (1) creating new tokens through token chaining, (2) leveraging possession of a token for a disabled user account, or (3) leveraging possession of a token for an account with a changed password. |
|---|---|
| 公表日 | 2012年7月31日19:45 |
| 登録日 | 2021年1月28日15:00 |
| 最終更新日 | 2024年11月21日10:40 |
| CVSS2.0 : MEDIUM | |
| スコア | 4.9 |
|---|---|
| ベクター | AV:N/AC:M/Au:S/C:P/I:P/A:N |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 中 |
| 攻撃前の認証要否(Au) | 単一 |
| 機密性への影響(C) | 低 |
| 完全性への影響(I) | 低 |
| 可用性への影響(A) | なし |
| 全ての特権を取得 | いいえ |
| ユーザー権限を取得 | いいえ |
| その他の権限を取得 | いいえ |
| ユーザー操作が必要 | いいえ |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:openstack:essex:*:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:openstack:keystone:2012.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:openstack:horizon:folsom-1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:openstack:keystone:2012.1.1:*:*:*:*:*:*:* | |||||
| タイトル | OpenStack Keystone における承認の制限を回避される脆弱性 |
|---|---|
| 概要 | OpenStack Folsom および Essex で使用される OpenStack Keystone は、トークンの有効期限切れに関する実装が適切でないため、承認の制限を回避される脆弱性が存在します。 |
| 想定される影響 | リモート認証されたユーザにより、(1) トークンの連鎖 (chaining) を介して新しいトークンを生成される、(2) 無効なユーザアカウントに対するトークンの占有を利用される、または (3) 変更されたパスワードを持つアカウントに対するトークンの占有を利用されることで、承認の制限を回避される可能性があります。 |
| 対策 | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2012年5月8日0:00 |
| 登録日 | 2012年8月1日16:41 |
| 最終更新日 | 2012年9月14日16:33 |
| OpenStack |
| OpenStack Compute Folsom Folsom-1 未満 |
| OpenStack Essex |
| Openstack Keystone 2012.1.1 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2012年07月31日] 掲載 [2012年09月14日] ベンダ情報:Ubuntu (USN-1552-1) を追加 |
2018年2月17日10:37 |