OSSN/OSSN-0083
< OSSN
Keystone 策略规则 "identity:get_identity_providers" 被忽略
Keystone 策略规则 "identity:get_identity_providers" 被忽略 ---
总结
Keystone 中的一个策略规则行为不符合预期,导致配置安全性低于预期。
受影响的服务 / 软件
OpenStack Identity Service (Keystone) Mitaka 及更早版本,以及 Newton (<= 10.0.3) 和 Ocata (<= 11.0.3)。
讨论
如果默认规则被更改,或者在 keystone 的 `policy.json` 中手动将 "get_identity_providers" 规则更改为 "get_identity_provider" (单数形式),则部署不受此问题影响。
默认策略配置中的拼写错误导致这些规则被忽略。因此,试图限制此 API 的操作者可能无法实际执行它。
建议的操作
将 Keystone 更新到至少 12.0.0.0b3 版本。此外,此修复已回移植到 Ocata (11.0.3) 和 Newton (10.0.3)。
修复任何残留的规则:`identity:get_identity_providers` 应更改为 `identity:get_identity_provider`。
联系方式 / 参考文献
作者:Nick Tait
此 OSSN:https://wiki.openstack.org/wiki/OSSN/OSSN-0083
原始 LaunchPad Bug:https://bugs.launchpad.net/ossn/+bug/1703369
邮件列表:[Security] 标签在 openstack-dev@lists.openstack.org 上
OpenStack 安全项目:https://launchpad.net/~openstack-ossg
