亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

OpenStack Keystone Credentials API漏洞CVE-2019-19687指的是什么

發布時間:2021-12-22 21:16:10 來源:億速云 閱讀:179 作者:柒染 欄目:網絡安全

本篇文章給大家分享的是有關 OpenStack Keystone Credentials API漏洞CVE-2019-19687指的是什么,小編覺得挺實用的,因此分享給大家學習,希望大家閱讀完這篇文章后可以有所收獲,話不多說,跟著小編一起來看看吧。

0x00 概述

近期,國外研究員Daniel 'f0o' Preussker報告了OpenStack組件Keystone Credentials API中的一處缺陷。當Keystone 的部署配置中將enforce_scope設置為False時,list credentials接口的相關過濾操作失效,導致在操作的project中擁有角色的用戶可以獲取該project下的所有用戶credentials,造成信息泄露。

0x01 影響范圍

Keystone <= 15.0.0 and <=16.0.0

0x02 漏洞修復

相關修復代碼已經合并到主分支,詳見Commit。

0x03 漏洞分析

該漏洞產生的源于將enforce_scope的配置值引入了憑據結果過濾的操作判斷邏輯中,當其取False時造成對應處理邏輯繞過,進而造成信息泄露 。補丁的修復也是對該部分邏輯進行了變更,詳細如下:

        # /keystone/api/credentials.py
        def _list_credentials(self):
        filters = ['user_id', 'type']
        if not self.oslo_context.system_scope:
            target = {'credential': {'user_id': self.oslo_context.user_id}}
        else:
            target = None
        ENFORCER.enforce_call(action='identity:list_credentials',
                              filters=filters, target_attr=target)
        hints = self.build_driver_hints(filters)
        refs = PROVIDERS.credential_api.list_credentials(hints) 
        # If the request was filtered, make sure to return only the
        # credentials specific to that user. This makes it so that users with
        # roles on projects can't see credentials that aren't theirs.
-        if (not self.oslo_context.system_scope and
-                CONF.oslo_policy.enforce_scope): 
-            filtered_refs = []
-            for ref in refs:
-                if ref['user_id'] == target['credential']['user_id']:
-                    filtered_refs.append(ref)
-            refs = filtered_refs
+        filtered_refs = []
+        for ref in refs:
+            # Check each credential again to make sure the user has access to
+            # it, either by owning it, being a project admin with
+            # enforce_scope=false, being a system user, or having some other
+            # custom policy that allows access.
+            try:
+                cred = PROVIDERS.credential_api.get_credential(ref['id'])
+                ENFORCER.enforce_call(
+                    action='identity:get_credential',
+                    target_attr={'credential': cred}
+                )
+                filtered_refs.append(ref)
+            except exception.Forbidden:
+                pass
+       refs = filtered_refs
        refs = [self._blob_to_json(r) for r in refs]
        return self.wrap_collection(refs, hints=hints)

漏洞成因較為簡單,但可以借此一窺Keystone API以及OpenStak背后的一些底層組件以及處理邏輯:

Oslo 維護了一套公共庫,實現了OpenStack各項目中用到的共有功能,避免了各項目重復造輪子。 產生本次漏洞的enforce_scope選項即為其中的oslo_policy所需的配置項,該庫為OpenStack各項目中基于角色的訪問控制(RBAC: Role-Based Access Control)功能提供實施策略的支持。具體地,enforce_scope對應于請求驗證過程中對特定異常處理的控制(請求與scope_type允許范圍不匹配時,拋出異常或記日志)。

oslo.policy通過以下兩個類實現各項功能支持:

  • oslo_policy.policy.RuleDefault: 用于定義檢查策略/規則。

  • oslo_policy.policy.Enforcer : 負責加載和執行規則/策略

這兩個類也對應oslo.policy的兩個入口點:oslo.policy.policiesoslo.policy.enforcer

當服務發起一定操作時,由Enforce加載并執行Policy,完成對操作的鑒權和訪問控制。

如下為Credentials APIlist_credentials的一個oslo_policy.policy.DocumentedRuleDefault(繼承RuleDefault)實例,記錄了一個policy enforcement的相關策略:

 policy.DocumentedRuleDefault(
        name=base.IDENTITY % 'list_credentials',
        check_str=base.SYSTEM_READER_OR_CRED_OWNER,
        scope_types=['system', 'project'],  # scope of the operation
        description='List credentials.',
        operations=[{'path': '/v3/credentials',
                     'method': 'GET'}],
        deprecated_rule=deprecated_list_credentials,
        deprecated_reason=DEPRECATED_REASON,
        deprecated_since=versionutils.deprecated.STEIN
    ),

其中:

  • name: policy名稱

  • check_str: policy的策略規則表達式。

  • scope_types: 規定了operate的作用范圍。策略執行階段,會將此值與請求中token對應的scope進行比對,進行控制。

  • description: 描述

  • operations: 操作屬性

  • deprecated_rule: 用于 Policy Deprecation Managerment,比如對舊名的替換。

  • deprecated_reason: 棄用原因

  • deprecated_since: 棄用版本節點

以上就是 OpenStack Keystone Credentials API漏洞CVE-2019-19687指的是什么,小編相信有部分知識點可能是我們日常工作會見到或用到的。希望你能通過這篇文章學到更多知識。更多詳情敬請關注億速云行業資訊頻道。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

五原县| 南丰县| 焦作市| 崇义县| 兴仁县| 福安市| 万全县| 玉溪市| 利辛县| 团风县| 武定县| 平山县| 吉木萨尔县| 新沂市| 阿拉善右旗| 九龙城区| 万盛区| 旅游| 贡山| 贡嘎县| 新邵县| 淮北市| 大连市| 本溪| 宾阳县| 许昌市| 青州市| 新乐市| 南宁市| 平湖市| 威信县| 普兰店市| 沙雅县| 丰城市| 施甸县| 林口县| 冷水江市| 广平县| 昆山市| 伊川县| 潼南县|