发布日期：2020-05-06
更新日期：2020-08-07

受影响系统：

openstack Keystone < 15.0.1
openstack Keystone 16.0.0

描述：

---

CVE(CAN) ID: CVE-2020-12690

OpenStack是美国国家航空航天局（National Aeronautics and Space Administration）和美国Rackspace公司合作研发的一个云平台管理项目。OpenStack Keystone是使用在OpenStack中的一个用于管理身份验证、服务规则和服务令牌功能的模块。
OpenStack Keystone 15.0.1之前以及16.0.0版本中存在权限提升漏洞。该漏洞产生的原因是为OAuth1访问令牌提供的角色列表被忽略。当访问令牌用于请求梯形令牌时，梯形令牌获得了比创建者预期的更多的角色分配。攻击者可利用该漏洞提升权限。

<*来源：kay
  
  链接：https://security.openstack.org/ossa/OSSA-2020-005.html
*>

建议：

---

厂商补丁：

openstack
---------
openstack已经为此发布了一个安全公告（OSSA-2020-005）以及相应补丁:
OSSA-2020-005：OAuth1 request token authorize silently ignores roles parameter
链接：https://security.openstack.org/ossa/OSSA-2020-005.html

浏览次数：1006
严重程度：0（网友投票）