OpenStack Identity 权限许可和访问控制漏洞 CVE-2014-5252 CNNVD-201407-744

4.9 AV AC AU C I A
发布: 2014-08-25
修订: 2014-10-10

OpenStack是美国国家航空航天局(National Aeronautics and Space Administration)和美国Rackspace公司合作研发的一个云平台管理项目。OpenStack Identity(又名Keystone)是其中的一个用于身份验证的项目,提供身份、令牌、目录和策略服务。 OpenStack Identity(Keystone)2014.1.2.1版本之前2014.1.x版本和Juno-3版本之前Juno版本的V3 API中存在安全漏洞,该漏洞源于程序为UUID v2令牌更新‘issued_at’值。远程攻击者可通过对发送给v3/auth/tokens/ URL的GET或HEAD请求进行检查利用该漏洞绕过令牌过期,保留访问权限。

0%

漏洞利用/PoC

暂无可用Exp或PoC

受影响的平台与产品

当前有5条受影响产品信息