发布日期：2020-05-06
更新日期：2020-08-11

受影响系统：

openstack Keystone < 15.0.1
openstack Keystone 16.0.0

描述：

---

CVE(CAN) ID: CVE-2020-12689

OpenStack是美国国家航空航天局和美国Rackspace公司合作研发的一个云平台管理项目。OpenStack Keystone是使用在OpenStack中的一个用于管理身份验证、服务规则和服务令牌功能的模块。
OpenStack Keystone 15.0.1之前版本和16.0.0版本中存在权限提升漏洞。该漏洞产生的原因是任何在有限范围内认证的用户（信任/oauth/应用凭证）都可以创建一个具有升级权限的EC2凭证，例如在用户处于有限的查看者角色时获得管理员。攻击者可能在另一个用户拥有管理员角色的项目上担任管理员，这可以有效地授予该用户全局管理员权限。

<*来源：kay
  
  链接：https://security.openstack.org/ossa/OSSA-2020-004.html
*>

建议：

---

厂商补丁：

openstack
---------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

https://security.openstack.org/ossa/OSSA-2020-004.html

浏览次数：737
严重程度：0（网友投票）