重要な脆弱性情報 脆弱性説明 脆弱性番号: OSSA 2013-014 脆弱性タイプ: auth_token ミドルウェアが署名済みトークンの有効期限をチェックしない 影響を受けるコンポーネントおよびバージョン: - OpenStack Identity (keystone): 無効、Folsom リリースで修正済み、重大な影響 - OpenStack セキュリティアドバイザリ - python-keystoneclient: Fix Released、重大な影響 脆弱性の詳細 問題: Keystone の auth_token ミドルウェアは、署名済みトークンの有効期限を無視します。これはトークンが明示的に失効されているかどうかのみをチェックします。 参考リンク: - コードスニペット: https://github.com/openstack/python-keystoneclient/blob/master/keystoneclient/middleware/auth_token.py#L1047 関連ブランチ lp:ubunturaring-security/python-keystoneclient lp:ubuntu/quantal-security/keystone lp:ubuntu/quantal-updates/keystone CVE 参考 CVE-2013-2104 重要な議論ポイント 修正パッチが問題を解決していることの確認 影響範囲は主に PKI トークンの認証検証に関する問題 異なるバージョンのメンテナンスおよび修正に関する議論 ステータス更新 バグは最終的に にマーキングされました 🔥影響ステータスが に更新されました 進捗状況の更新と担当者への割り当て記録は、修正プロセスの追跡と議論を示しています