| Vulnerability Name: | CVE-2014-5253 (CCN-95118) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Assigned: | 2014-07-28 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Published: | 2014-07-28 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Updated: | 2014-10-10 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Summary: | OpenStack Identity (Keystone) 2014.1.x before 2014.1.2.1 and Juno before Juno-3 does not properly revoke tokens when a domain is invalidated, which allows remote authenticated users to retain access via a domain-scoped token for that domain. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| CVSS v3 Severity: | 5.3 Medium (CCN CVSS v3.1 Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| CVSS v2 Severity: | 4.9 Medium (CVSS v2 Vector: AV:N/AC:M/Au:S/C:P/I:P/A:N) 3.6 Low (Temporal CVSS v2 Vector: AV:N/AC:M/Au:S/C:P/I:P/A:N/E:U/RL:OF/RC:C)
3.7 Low (CCN Temporal CVSS v2 Vector: AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C)
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Vulnerability Type: | CWE-255 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Vulnerability Consequences: | Bypass Security | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| References: | Source: MITRE Type: CNA CVE-2014-5253 Source: CCN Type: OpenStack Web site Welcome to Keystone, the OpenStack Identity Service Source: REDHAT Type: UNKNOWN RHSA-2014:1121 Source: REDHAT Type: UNKNOWN RHSA-2014:1122 Source: CCN Type: IBM Security Bulletin 1021826 Multiple XSS vulnerabilities in IBM Cloud Manager with OpenStack Keystone (CVE-2014-5251, CVE-2014-5252, CVE-2014-5253) Source: MLIST Type: UNKNOWN [oss-security] 20140815 [OSSA 2014-026] Multiple vulnerabilities in Keystone revocation events (CVE-2014-5251, CVE-2014-5252, CVE-2014-5253) Source: CCN Type: OSVDB ID: 109752 OpenStack Keystone Domain-scoped Token Revocation Failure Source: CCN Type: BID-69051 OpenStack Keystone Domain-scoped Token Revocation Failure Security Bypass Vulnerability Source: UBUNTU Type: UNKNOWN USN-2324-1 Source: CCN Type: Launchpad Bug #1349597 Domain-scoped tokens don't get revoked Source: MISC Type: UNKNOWN https://bugs.launchpad.net/keystone/+bug/1349597 Source: XF Type: UNKNOWN keystone-domain-sec-bypass(95118) Source: CCN Type: OpenStack GIT Repository Add tests related to V2 token issued_at time changing | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Vulnerable Configuration: | Configuration 1: Configuration CCN 1:  Denotes that component is vulnerable | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Oval Definitions | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| BACK | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||