Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

Openstack›Приложениеnvd

Python-keystoneclient

Уязвимости

7

Эксплуатируемые

0

Макс. CVSS

9.8

Макс. EPSS

0.02586

Распределение по критичности

Критический

2

Высокий

0

Средний

3

Низкий

2

Затронутые диапазоны версий

0.2.3–0.2.5≤ 0.10.1≤ 0.2.3≤ 0.4.2≤ 1.3.0

Также сопоставлено как (исходные строки): python-keystoneclient,keystonemiddleware

Топ уязвимостей

CVE-2013-2167python-keystoneclient версии 0.2.3 - 0.2.5 имеет обход подписи промежуточного программного обеспечения memcache.

CVE-2013-2166python-keystoneclient версии 0.2.3 - 0.2.5 имеет обход шифрования промежуточного программного обеспечения memcache.

CVE-2015-1852Промежуточное программное обеспечение s3_token в OpenStack keystonemiddleware до версии 1.6.0 и python-keystoneclient до версии 1.4.0 отключает проверку сертификатов, когда опция "insecure" установлена в файле конфигурации paste (paste.ini) независимо от значения, что позволяет удаленным злоумышленникам проводить атаки "человек посередине" через специально созданный сертификат, что является другой уязвимостью, чем CVE-2014-7144.

CVE-2014-7144OpenStack keystonemiddleware (ранее python-keystoneclient) 0.x до 0.11.0 и 1.x до 1.2.0 отключает проверку сертификации, когда опция "insecure" установлена в файле конфигурации paste (paste.ini) независимо от значения, что позволяет удаленным злоумышленникам проводить атаки типа "человек посередине" через специально созданный сертификат.

CVE-2014-0105Промежуточное программное обеспечение auth_token в клиентской библиотеке OpenStack Python для Keystone (aka python-keystoneclient) до 0.7.0 неправильно извлекает токены пользователей из memcache, что позволяет удаленным аутентифицированным пользователям получать привилегии при благоприятных обстоятельствах через большое количество запросов, связанных с «взаимодействием между eventlet и python-memcached».

CVE-2013-2104python-keystoneclient до версии 0.2.4, используемый в OpenStack Keystone (Folsom), неправильно проверяет срок действия токенов PKI, что позволяет удаленным аутентифицированным пользователям (1) сохранять использование токена после истечения срока его действия или (2) использовать отозванный токен после истечения срока его действия.

CVE-2013-2013Команда user-password-update в python-keystoneclient до 0.2.4 принимает новый пароль в аргументе --password, что позволяет локальным пользователям получать конфиденциальную информацию, перечисляя процессы.

Перейти к вендору →Открыть в каталоге с фильтром по продукту →