漏洞关键信息 漏洞ID: 906171 CVE编号: CVE-2013-0247 CVE编号别名: CVE-2013-0247 漏洞名称: OpenStack Keystone: 通过无效令牌请求导致的拒绝服务 状态: 已关闭(ERRATA) 报告时间: 2013-01-31 04:31 UTC 报告人: Kurt Seifried 产品: Security Response 组件: vulnerability 优先级: 中 严重性: 中 操作系统: Linux 补丁版本: - essex-CVE-2013-0247.patch - folsom-CVE-2013-0247.patch - grizzly-CVE-2013-0247.patch 修复版本: - RHSA-2013:0253 (OpenStack Folsom for RHEL 6) - openstack-keystone-2012.2.3-2.fc18 (Fedora 18) - openstack-keystone-2012.2.3-4.el6 (Fedora EPEL 6) 漏洞描述 Dan Prince 报告了 Keystone 在处理令牌创建错误时存在的漏洞。通过请求大量无效令牌,未经授权的用户可能会填满 Keystone API 服务器的日志,潜在地导致拒绝服务攻击。 提议的补丁 针对当前开发树(Grizzly)和 Folsom、Essex 系列的补丁已提供。除非发现其他问题,这些提议的补丁将在公共披露日期前合并到 Keystone 主干、稳定的 folsom 和稳定的 essex 分支。 发现者 此漏洞由 Red Hat 的 Dan Prince 发现。