OpenStack Keystone Credentials API漏洞CVE-2019-19687指的是什么

本篇文章給大家分享的是有關 OpenStack Keystone Credentials API漏洞CVE-2019-19687指的是什么，小編覺得挺實用的，因此分享給大家學習，希望大家閱讀完這篇文章后可以有所收獲，話不多說，跟著小編一起來看看吧。

0x00 概述

近期，國外研究員Daniel 'f0o' Preussker報告了OpenStack組件Keystone Credentials API中的一處缺陷。當Keystone 的部署配置中將enforce_scope設置為False時，list credentials接口的相關過濾操作失效，導致在操作的project中擁有角色的用戶可以獲取該project下的所有用戶credentials，造成信息泄露。

0x01 影響范圍

Keystone <= 15.0.0 and <=16.0.0

0x02 漏洞修復

相關修復代碼已經合并到主分支，詳見Commit。

0x03 漏洞分析

該漏洞產生的源于將enforce_scope的配置值引入了憑據結果過濾的操作判斷邏輯中，當其取False時造成對應處理邏輯繞過，進而造成信息泄露 。補丁的修復也是對該部分邏輯進行了變更，詳細如下：

        # /keystone/api/credentials.py
        def _list_credentials(self):
        filters = ['user_id', 'type']
        if not self.oslo_context.system_scope:
            target = {'credential': {'user_id': self.oslo_context.user_id}}
        else:
            target = None
        ENFORCER.enforce_call(action='identity:list_credentials',
                              filters=filters, target_attr=target)
        hints = self.build_driver_hints(filters)
        refs = PROVIDERS.credential_api.list_credentials(hints) 
        # If the request was filtered, make sure to return only the
        # credentials specific to that user. This makes it so that users with
        # roles on projects can't see credentials that aren't theirs.
-        if (not self.oslo_context.system_scope and
-                CONF.oslo_policy.enforce_scope): 
-            filtered_refs = []
-            for ref in refs:
-                if ref['user_id'] == target['credential']['user_id']:
-                    filtered_refs.append(ref)
-            refs = filtered_refs
+        filtered_refs = []
+        for ref in refs:
+            # Check each credential again to make sure the user has access to
+            # it, either by owning it, being a project admin with
+            # enforce_scope=false, being a system user, or having some other
+            # custom policy that allows access.
+            try:
+                cred = PROVIDERS.credential_api.get_credential(ref['id'])
+                ENFORCER.enforce_call(
+                    action='identity:get_credential',
+                    target_attr={'credential': cred}
+                )
+                filtered_refs.append(ref)
+            except exception.Forbidden:
+                pass
+       refs = filtered_refs
        refs = [self._blob_to_json(r) for r in refs]
        return self.wrap_collection(refs, hints=hints)

漏洞成因較為簡單，但可以借此一窺Keystone API以及OpenStak背后的一些底層組件以及處理邏輯：

Oslo 維護了一套公共庫，實現了OpenStack各項目中用到的共有功能，避免了各項目重復造輪子。 產生本次漏洞的enforce_scope選項即為其中的oslo_policy所需的配置項，該庫為OpenStack各項目中基于角色的訪問控制(RBAC: Role-Based Access Control）功能提供實施策略的支持。具體地，enforce_scope對應于請求驗證過程中對特定異常處理的控制（請求與scope_type允許范圍不匹配時，拋出異常或記日志）。

oslo.policy通過以下兩個類實現各項功能支持：

• oslo_policy.policy.RuleDefault: 用于定義檢查策略/規則。

• oslo_policy.policy.Enforcer : 負責加載和執行規則/策略

這兩個類也對應oslo.policy的兩個入口點：oslo.policy.policies和oslo.policy.enforcer

當服務發起一定操作時，由Enforce加載并執行Policy，完成對操作的鑒權和訪問控制。

如下為Credentials API中list_credentials的一個oslo_policy.policy.DocumentedRuleDefault(繼承RuleDefault)實例，記錄了一個policy enforcement的相關策略：

 policy.DocumentedRuleDefault(
        name=base.IDENTITY % 'list_credentials',
        check_str=base.SYSTEM_READER_OR_CRED_OWNER,
        scope_types=['system', 'project'],  # scope of the operation
        description='List credentials.',
        operations=[{'path': '/v3/credentials',
                     'method': 'GET'}],
        deprecated_rule=deprecated_list_credentials,
        deprecated_reason=DEPRECATED_REASON,
        deprecated_since=versionutils.deprecated.STEIN
    ),

其中:

• name: policy名稱

• check_str: policy的策略規則表達式。

• scope_types: 規定了operate的作用范圍。策略執行階段，會將此值與請求中token對應的scope進行比對，進行控制。

• description: 描述

• operations: 操作屬性

• deprecated_rule: 用于 Policy Deprecation Managerment，比如對舊名的替換。

• deprecated_reason: 棄用原因

• deprecated_since: 棄用版本節點

以上就是 OpenStack Keystone Credentials API漏洞CVE-2019-19687指的是什么，小編相信有部分知識點可能是我們日常工作會見到或用到的。希望你能通過這篇文章學到更多知識。更多詳情敬請關注億速云行業資訊頻道。