| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.2 | $0-$5k | 0.00 |
Zusammenfassung
In OpenStack Keystone 2013.1/2013.1.1/2013.1.2/2013.1.3/2013.2 wurde eine kritische Schwachstelle ausgemacht. Es geht hierbei um eine nicht näher spezifizierte Funktion. Durch das Manipulieren mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2013-6391 gehandelt. Es ist soweit kein Exploit verfügbar. Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen.
Details
In OpenStack Keystone 2013.1/2013.1.1/2013.1.2/2013.1.3/2013.2 (Cloud Software) wurde eine Schwachstelle entdeckt. Sie wurde als kritisch eingestuft. Hierbei betrifft es unbekannter Programmcode. Mittels Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-264. Mit Auswirkungen muss man rechnen für Vertraulichkeit und Integrität. CVE fasst zusammen:
The ec2tokens API in OpenStack Identity (Keystone) before Havana 2013.2.1 and Icehouse before icehouse-2 does not return a trust-scoped token when one is received, which allows remote trust users to gain privileges by generating EC2 credentials from a trust-scoped token and using them in an ec2tokens API request.Die Schwachstelle wurde am 14.12.2013 (Website) an die Öffentlichkeit getragen. Das Advisory kann von bugs.launchpad.net heruntergeladen werden. Eine eindeutige Identifikation der Schwachstelle wird seit dem 04.11.2013 mit CVE-2013-6391 vorgenommen. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1068.
Für den Vulnerability Scanner Nessus wurde am 07.04.2014 ein Plugin mit der ID 73353 (Fedora 19 : openstack-keystone-2013.1.5-2.fc19 (2014-4210)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Fedora Local Security Checks zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 195824 (Ubuntu Security Notification for Keystone Vulnerability (USN-2061-1)) zur Prüfung der Schwachstelle an.
Ein Upgrade auf die Version 2013.1.3 vermag dieses Problem zu beheben.
Unter anderem wird der Fehler auch in den Datenbanken von X-Force (89657), Tenable (73353), SecurityFocus (BID 64253†), Secunia (SA56079†) und Vulnerability Center (SBV-42785†) dokumentiert. Once again VulDB remains the best source for vulnerability data.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.openstack.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.5VulDB Meta Temp Score: 6.2
VulDB Base Score: 6.5
VulDB Temp Score: 6.2
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-264
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 73353
Nessus Name: Fedora 19 : openstack-keystone-2013.1.5-2.fc19 (2014-4210)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Port: 🔍
OpenVAS ID: 867346
OpenVAS Name: Fedora Update for openstack-keystone FEDORA-2013-23589
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: Keystone 2013.1.3
Timeline
04.11.2013 🔍11.12.2013 🔍
12.12.2013 🔍
14.12.2013 🔍
14.12.2013 🔍
06.01.2014 🔍
07.04.2014 🔍
24.03.2015 🔍
23.12.2024 🔍
Quellen
Hersteller: openstack.orgAdvisory: USN-2061-1
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2013-6391 (🔍)
GCVE (CVE): GCVE-0-2013-6391
GCVE (VulDB): GCVE-100-65764
OVAL: 🔍
X-Force: 89657
SecurityFocus: 64253
Secunia: 56079 - OpenStack Keystone EC2 Tokens Security Bypass Security Issue, Less Critical
Vulnerability Center: 42785 - OpenStack Keystone Remote Security Bypass Vulnerability via ec2tokens API Request, Medium
Eintrag
Erstellt: 24.03.2015 15:54Aktualisierung: 23.12.2024 15:18
Anpassungen: 24.03.2015 15:54 (67), 18.05.2017 17:57 (5), 11.01.2022 22:36 (3), 11.01.2022 22:48 (1), 11.01.2022 23:01 (1), 23.12.2024 15:18 (18)
Komplett: 🔍
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.