Проблема была обнаружена в OpenStack Keystone версий 14–26 до версий 26.1.1, 27.0.0, 28.0.0 и 29.0.0. Ограниченные учетные данные приложения могут создавать учетные данные EC2. Используя ограниченные учетные данные приложения для вызова API создания учетных данных EC2, аутентифицированный пользователь с только ролью читателя может получить учетные данные EC2/S3, которые содержат полный набор разрешений S3 родительского пользователя, эффективно обходя ролевые ограничения, наложенные на учетные данные приложения.
Это касается только развертываний, которые используют ограниченные учетные данные приложения в сочетании с API совместимости EC2/S3 (swift3/s3api).
Показать оригинальное описание (EN)
An issue was discovered in OpenStack Keystone 14 through 26 before 26.1.1, 27.0.0, 28.0.0, and 29.0.0. Restricted application credentials can create EC2 credentials. By using a restricted application credential to call the EC2 credential creation API, an authenticated user with only a reader role may obtain an EC2/S3 credential that carries the full set of the parent user's S3 permissions, effectively bypassing the role restrictions imposed on the application credential. Only deployments that use restricted application credentials in combination with the EC2/S3 compatibility API (swift3 / s3api) are affected.
Характеристики атаки
Последствия
Строка CVSS v3.1