OSSN/OSSN-0010

示例 Keystone v3 策略暴露了权限提升漏洞

总结

policy.v3cloudsample.json 示例 Keystone 策略文件与用户、组和项目实体的底层域 ID 可变性相结合，暴露了一个权限提升漏洞。当应用此示例策略时，域管理员可以提升其权限成为云管理员。

受影响的服务 / 软件

Keystone, Havana

讨论

Havana 发布周期期间对 Keystone v3 示例策略的更改设置了一个过于宽泛的域管理员范围，允许在其他域上创建角色（create_grant）（以及其他操作）。没有检查域管理员是否有权访问他们尝试授予角色的域。

将用户、组和项目实体的域 ID 可变状态与示例 v3 策略相结合，导致了权限提升漏洞。域管理员可以执行一系列步骤来提升其访问权限至云管理员级别。

建议的操作

请查看 OpenStack Icehouse 版本中更新后的示例 v3 策略文件

https://git.openstack.org/cgit/openstack/keystone/commit/?id=0496466821c1ff6e7d4209233b6c671f88aadc50

您应确保您的 Keystone 部署适当反映此更新。域管理员通常仅应允许对他们是管理员的域执行操作。

可选地，请查看最近添加的对不可变域 ID 的支持，并考虑其是否适用于您的 Keystone 部署

https://git.openstack.org/cgit/openstack/keystone/commit/?id=a2fa6a6f01a4884edf369cafa39946636af5cf1a

联系方式 / 参考文献

• 作者：Jamie Finnigan, HP
• 此 OSSN：https://wiki.openstack.org/wiki/OSSN/OSSN-0010
• 原始 LaunchPad Bug：https://bugs.launchpad.net/keystone/+bug/1287219
• OpenStack Security ML：openstack-security@lists.openstack.org
• OpenStack Security Group：https://launchpad.net/~openstack-ossg