OpenStack Keystone LDAP 身份后端漏洞总结 漏洞概述 OpenStack Keystone 的 LDAP 身份后端存在一个逻辑漏洞。当配置选项 为 (默认值)时,Keystone 未能正确解释 LDAP 中的 属性。这导致被禁用的用户被错误地视为启用状态,从而允许未设置 属性的用户进行认证。 CVE ID: CVE-2026-0071 报告人: Benedikt Trezler (Cirrax GmbH), Andrew Bogott (Wikimedia Foundation) 影响范围 受影响的 Keystone 版本包括: >=8.0.0 =26.0.0 =27.0.0 =28.0.0 <28.0.1 修复方案 该漏洞已在以下补丁中修复: https://review.opendev.org/882409 (2024.2/dalmatian) https://review.opendev.org/882488 (2025.1/epoxy) https://review.opendev.org/882487 (2025.2/fiammingo) https://review.opendev.org/858295 (2026.1/gazpacho) 临时规避措施 (Notes): 在漏洞修复前,可以通过以下方式规避: 1. 设置 。 2. 使用具有反转语义的 LDAP 属性(如 )。 3. 使用 与基于组的启用状态。