Openstack Keystone身份验证模块出现安全绕过漏洞CVE-2017-2673 已经出现漏洞利用工具

开源平台Openstack的身份验证模块Keystone出现安全绕过漏洞,黑客如果成功利用漏洞,可能绕过某些预期的安全限制,并执行未经授权的操作,并发动进一步的攻击。

影响范围

OpenStack Kesytone 10.0.0, 10.0.1 and 11.0.0 均受影响,其它版本也可能受影响。目前漏洞利用工具已经开始流传。

Keystone是什么

Keystone(OpenStack Identity Service)是 OpenStack 框架中负责管理身份验证、服务规则和服务令牌功能的模块。用户访问资源需要验证用户的身份与权限,服务执行操作也需要进行权限检测,这些都需要通过 Keystone 来处理。

解决方案

官方已经给出升级补丁。

参考信息

更多信息

Bugtraq ID: 98032
Class: Configuration Error
CVE: CVE-2017-2673
Remote: Yes
Local: No
Published: Apr 25 2017 12:00AM
Updated: Apr 27 2017 12:10AM
Credit: Boris Bobrov from Mail.Ru.
Vulnerable: Redhat OpenStack Platform 9.0
Redhat OpenStack Platform 11
Redhat OpenStack Platform 10
OpenStack Keystone 11.0 
OpenStack Keystone 10.0.1 
OpenStack Keystone 10.0 

发表评论