| タイトル | OpenStackのOpenstack Keystoneにおける不正な認証に関する脆弱性 |
|---|---|
| 概要 | OpenStack Keystoneのバージョン14から26の26.1.1、27.0.0、28.0.0、29.0.0以前に問題が発見されました。制限付きアプリケーション認証情報を使用すると、EC2認証情報を作成可能です。制限付きアプリケーション認証情報を用いてEC2認証情報作成APIを呼び出すことで、リーダーロールのみを持つ認証ユーザーが親ユーザーのS3権限のフルセットを有するEC2/S3認証情報を取得でき、その結果、アプリケーション認証情報に課されたロールの制限を実質的に回避できます。この問題は、制限付きアプリケーション認証情報をEC2/S3互換API(swift3 / s3api)と組み合わせて使用している環境にのみ影響します。 |
| 想定される影響 | ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアは停止しません。 |
| 対策 | ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年4月10日0:00 |
| 登録日 | 2026年6月8日12:32 |
| 最終更新日 | 2026年6月8日12:32 |
| CVSS3.0 : 警告 | |
| スコア | 5.3 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N |
| OpenStack |
| Openstack Keystone 14.0.0 以上 26.1.1 未満 |
| Openstack Keystone 27.0.0 |
| Openstack Keystone 28.0.0 |
| Openstack Keystone 29.0.0 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年06月08日] 掲載 |
2026年6月8日12:32 |
| 概要 | An issue was discovered in OpenStack Keystone 14 through 26 before 26.1.1, 27.0.0, 28.0.0, and 29.0.0. Restricted application credentials can create EC2 credentials. By using a restricted application credential to call the EC2 credential creation API, an authenticated user with only a reader role may obtain an EC2/S3 credential that carries the full set of the parent user's S3 permissions, effectively bypassing the role restrictions imposed on the application credential. Only deployments that use restricted application credentials in combination with the EC2/S3 compatibility API (swift3 / s3api) are affected. |
|---|---|
| 公表日 | 2026年4月10日12:16 |
| 登録日 | 2026年4月15日11:35 |
| 最終更新日 | 2026年4月14日0:02 |