关键漏洞信息 漏洞ID: CVE-2012-3426 漏洞标题: Various Keystone token expiration issues 影响严重性: Medium 影响产品: Keystone 受影响版本: Essex, Folsom --- 漏洞描述 Derek Higgins报告了Keystone令牌过期日期可能被绕过的多种问题。攻击者可以通过在旧令牌过期前持续创建新令牌,从而使旧令牌保持有效。即使用户账户被禁用或密码被更改,现有的令牌仍然有效。这可能导致授权用户超越账户所有者的期望范围,扩展其访问权限。 --- 修复信息 Folsom版本修复: - GitHub Commit 1 - GitHub Commit 2 - GitHub Commit 3 Essex版本修复: - GitHub Commit 1 - GitHub Commit 2 - GitHub Commit 3 --- 参考链接 Launchpad Bug 998185 Launchpad Bug 997194 Launchpad Bug 996695 CVE-2012-3426 --- 备注 这些修复已包含在Keystone 2012.1.1稳定更新和Folsom-1开发里程碑中。