Vulnerabilidad en OpenStack Identity y icehouse (CVE-2014-2237)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-264
Permisos, privilegios y/o control de acceso
Fecha de publicación:
01/04/2014
Última modificación:
12/04/2025
Descripción
El memcache token backend en OpenStack Identity (Keystone) 2013.1 hasta 2.013.1.4, 2013.2 hasta 2013.2.2 y icehouse anterior a icehouse-3, cuando se emite un token de confianza con suplantación habilitada, no incluye este token en la lista de indice de tokens del trustee, lo que previene el token ser invalidado por la revocación de tokens en masa y permite al trustee evadir restricciones de acceso.
Impacto
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:openstack:keystone:2013.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:openstack:keystone:2013.1.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:openstack:keystone:2013.1.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:openstack:keystone:2013.1.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:openstack:keystone:2013.1.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:openstack:keystone:2013.2.2:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://rhn.redhat.com/errata/RHSA-2014-0580.html
- http://www.openwall.com/lists/oss-security/2014/03/04/16
- http://www.securityfocus.com/bid/65895
- https://bugs.launchpad.net/keystone/+bug/1260080
- http://rhn.redhat.com/errata/RHSA-2014-0580.html
- http://www.openwall.com/lists/oss-security/2014/03/04/16
- http://www.securityfocus.com/bid/65895
- https://bugs.launchpad.net/keystone/+bug/1260080