Множественные уязвимости в OpenStack Keystone

Дата публикации:
14.08.2012
Дата изменения:
14.08.2012
Всего просмотров:
878
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
2
CVSSv2 рейтинг:
(AV:N/AC:H/Au:N/C:P/I:P/A:P/E:U/RL:O/RC:C) = Base:5.1/Temporal:3.8
(AV:N/AC:H/Au:N/C:P/I:P/A:P/E:U/RL:O/RC:C) = Base:5.1/Temporal:3.8
CVE ID:
CVE-2012-3426
Вектор эксплуатации:
Удаленная
Воздействие:
Обход ограничений безопасности
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
OpenStack Keystone 2012.x
Уязвимые версии: OpenStack Keystone версий до 2012.1.1

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти ограничения безопасности на целевой системе.

1. Уязвимость существует из-за ошибки в механизме окончания термина работы токена при запросе на создание нового токена, который действует после срока окончания действия до создания нового токена. Удаленный пользователь может расширить время работы устаревшего токена.

2. Уязвимость существует из-за ошибки в механизме окончания работы токена, который не делает недействительным токен отключённого пользователя. Удаленный пользователь может получить доступ к учетным записям отключенных пользователей.

URL производителя: https://launchpad.net/keystone/

Решение: Для устранения уязвимости установите продукт версии 2012.1.1 с сайта производителя.

Ссылки: http://www.openwall.com/lists/oss-security/2012/07/27/4
https://bugs.launchpad.net/keystone/
https://bugs.launchpad.net/keystone/
https://bugs.launchpad.net/keystone/

или введите имя

CAPTCHA