OpenStack Keystone LDAP 用户启用属性漏洞总结 漏洞概述 OpenStack Identity (keystone) 的 LDAP 后端存在一个安全漏洞。当配置了 选项时,LDAP 返回的字符串值(如 "FALSE")被直接当作布尔值处理,导致所有用户都被视为启用状态,即使他们在 LDAP 中实际被禁用。 影响范围 受影响版本: - stable/2021.1 (Epoxy): 902408 - stable/2024.2 (Dalmatian): 902409 - stable/2026.1 (Caracal): 无修复计划 受影响组件: - 使用 LDAP 后端的 OpenStack Keystone - 配置了 选项的系统 安全风险: - 所有 LDAP 用户都被视为启用状态,即使他们被明确禁用 - 可能导致未授权访问 修复方案 1. 修复代码: - 修复了 LDAP 响应中的字符串到布尔值的转换 - 正确处理 配置选项 2. 修复版本: - stable/2025.1 (Epoxy): 902408 - 等待审查 - stable/2024.2 (Dalmatian): 902409 - 等待审查 - stable/2026.1 (Caracal): 无修复计划 3. 临时缓解措施: - 设置 或使用 LDAP 属性中的反转语义(如 ) - 使用 与组绑定启用状态 POC 代码 相关资源 原始报告:https://bugs.launchpad.net/keystone/+bug/2140354 修复补丁:https://review.opendev.org/c/openstack/keystone/+/982305 CVE 编号:CVE-2026-087