Промежуточное программное обеспечение s3_token в OpenStack keystonemiddleware до версии 1.6.0 и python-keystoneclient до версии 1.4.0 отклю…
Промежуточное программное обеспечение s3_token в OpenStack keystonemiddleware до версии 1.6.0 и python-keystoneclient до версии 1.4.0 отключает проверку сертификатов, когда опция "insecure" установлена в файле конфигурации paste (paste.ini) независимо от значения, что позволяет удаленным злоумышленникам проводить атаки "человек посередине" через специально созданный сертификат, что является другой уязвимостью, чем CVE-2014-7144.
Данная запись объявлена устаревшей. Первоначально она использовалась для организации представления разработки (CWE-699) и некоторых других представлений, однако привносила излишнюю сложность и глубину в результирующее дерево.
https://cwe.mitre.org/data/definitions/17.html →Открыть в коллекции CWE →Продукт не проверяет или некорректно проверяет сертификат.
https://cwe.mitre.org/data/definitions/295.html →Открыть в коллекции CWE →Злоумышленник эксплуатирует слабость, возникающую вследствие применения хеш-алгоритма с низкой устойчивостью к коллизиям, для генерации запросов на подпись сертификата (CSR), содержащих блоки коллизий в разделах «подписываемых данных». Злоумышленник отправляет один CSR на подписание доверенному удостоверяющему центру, а затем использует подписанный блок для того, чтобы второй сертификат выглядел подписанным тем же удостоверяющим центром. Вследствие хеш-коллизии оба сертификата, будучи различными, дают одно и то же хеш-значение, и подписанный блок одинаково работает с обоими сертификатами. В итоге второй сертификат X.509 злоумышленника, который удостоверяющий центр никогда не видел, оказывается подписанным и верифицированным этим удостоверяющим центром.
https://capec.mitre.org/data/definitions/459.html →Открыть в коллекции CAPEC →Злоумышленник эксплуатирует криптографическую слабость в реализации алгоритма проверки подписи для генерации действительной подписи без знания ключа.
https://capec.mitre.org/data/definitions/475.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| python-keystoneclient | Отслеживается | |
| python-keystoneclient | Отслеживается | |
| python-keystoneclient | Отслеживается | |
| python-keystoneclient | Отслеживается | |
| python-keystoneclient | Отслеживается | |
| python-keystoneclient | Отслеживается | |
| python-keystoneclient | Отслеживается | |
| python-keystoneclient | Отслеживается | |
| python-keystoneclient | Отслеживается | |
| python-keystonemiddleware | Отслеживается | |
| python-keystonemiddleware | Отслеживается | |
| python-keystonemiddleware | Отслеживается | |
| python-keystonemiddleware | Отслеживается | |
| python-keystonemiddleware | Отслеживается | |
| keystonemiddleware | * | Отслеживается |
| python-keystoneclient | * | Отслеживается |
| ubuntu_linux | * | Отслеживается |