Podatność w komponencie external_oauth2_token middleware biblioteki OpenStack keystonemiddleware pozwala uwierzytelnionemu atakującemu na eskalację uprawnień lub podszywanie się pod innych użytkowników poprzez przesłanie sfałszowanych nagłówków tożsamości. Ze względu na brak sanityzacji nagłówków wejściowych i ocenę CVSS 9.9, podatność stanowi krytyczne zagrożenie dla środowisk OpenStack.
▸ Pokaż oryginał (EN)
An issue was discovered in OpenStack keystonemiddleware 10.5 through 10.7 before 10.7.2, 10.8 and 10.9 before 10.9.1, and 10.10 through 10.12 before 10.12.1. The external_oauth2_token middleware fails to sanitize incoming authentication headers before processing OAuth 2.0 tokens. By sending forged identity headers such as X-Is-Admin-Project, X-Roles, or X-User-Id, an authenticated attacker may escalate privileges or impersonate other users. All deployments using the external_oauth2_token middleware are affected.
Middleware external_oauth2_token odpowiedzialny za przetwarzanie tokenów OAuth 2.0 nie oczyszcza przychodzących nagłówków HTTP przed ich przetworzeniem (CWE-290 — Authentication Bypass by Spoofing). Atakujący może przesłać spreparowane nagłówki takie jak X-Is-Admin-Project, X-Roles lub X-User-Id, które następnie są akceptowane i przetwarzane przez stos middleware jako zaufane wartości tożsamości. W efekcie system przyznaje atakującemu uprawnienia wynikające z fałszywych nagłówków, a nie z rzeczywistej tożsamości użytkownika.
Uwierzytelniony atakujący może podnieść swoje uprawnienia (privilege escalation), w tym uzyskać uprawnienia administracyjne, lub podszyć się pod dowolnego innego użytkownika w środowisku OpenStack, co prowadzi do pełnego naruszenia poufności i integralności zasobów chmurowych.
Należy zaktualizować OpenStack keystonemiddleware do wersji 10.7.2, 10.9.1 lub 10.12.1 odpowiednio dla używanej gałęzi. Jako doraźne obejście należy rozważyć wyłączenie lub zablokowanie użycia middleware external_oauth2_token do czasu wdrożenia patcha. Szczegóły dostępne pod adresem: https://launchpad.net/bugs/2129018
OpenStack keystonemiddleware w wersjach: 10.5 – 10.7 (przed 10.7.2), 10.8 – 10.9 (przed 10.9.1) oraz 10.10 – 10.12 (przed 10.12.1). Dotyczy wyłącznie wdrożeń korzystających z middleware external_oauth2_token.
Podatność dotyczy wyłącznie wdrożeń używających middleware external_oauth2_token do obsługi tokenów OAuth 2.0; instalacje korzystające z innych mechanizmów uwierzytelniania w keystonemiddleware nie są zagrożone.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L