OpenStack on 办公AI智能小助手

OpenStack Keystone 身份服务因AWS签名验证缺陷导致越权漏洞分析

Wed, 10 Dec 2025 10:15:51 +0800

漏洞详情

包管理器: pip 受影响的包: keystone 受影响版本:

小于 26.0.1 的所有版本
27.0.0.0rc1
28.0.0.0rc1 已修复版本:
26.0.1
27.0.0
28.0.0

描述

OpenStack Keystone 在 26.0.1、27.0.0 和 28.0.0 之前的版本中存在一个安全漏洞。该漏洞允许攻击者向 /v3/ec2tokens 或 /v3/s3tokens 端点发起携带有效 AWS 签名的请求，从而获得 Keystone 的授权（令牌）。

OpenStack Keystone 授权漏洞分析：AWS签名滥用导致身份验证绕过

Tue, 09 Dec 2025 05:07:56 +0800

CVE-2025-65073：OpenStack Keystone 授权漏洞

漏洞详情

OpenStack Keystone 在 26.0.1 之前版本、27.0.0.0rc1 和 28.0.0.0rc1 版本中，存在一个安全漏洞。攻击者可以向 /v3/ec2tokens 或 /v3/s3tokens 端点发送带有有效 AWS 签名的请求，从而获得 Keystone 的授权。

OpenStack Mistral Client 本地文件包含漏洞深度剖析

Wed, 03 Dec 2025 12:23:22 +0800

CVE-2021-4472：OpenStack Mistral 客户端的本地文件包含漏洞

漏洞摘要

OpenStack的Mistral-dashboard插件存在一个本地文件包含（LFI）漏洞。具体而言，攻击者可以利用“创建工作簿”（Create Workbook）功能，构造恶意请求，从而读取服务器上的任意本地文件内容。该漏洞被分配了CVE编号CVE-2021-4472，并在GitHub安全通告数据库中列为已审查。

OpenStack Keystone授权漏洞分析：AWS签名验证缺陷

Thu, 27 Nov 2025 00:48:27 +0800

漏洞概述

OpenStack Keystone在特定版本中存在安全漏洞，允许攻击者通过携带有效AWS签名的/v3/ec2tokens或/v3/s3tokens请求获取Keystone授权。

开源基础设施峰会：地缘政治下的数字主权与开源技术实践

Wed, 22 Oct 2025 02:14:36 +0800

OpenInfra Summit Europe: Digital sovereignty in the face of political tension

地缘政治紧张及其对开源技术的潜在影响是10月16日至19日在巴黎举行的OpenInfra基金会欧洲峰会的主要焦点之一。

当被问及在地缘政治气候不稳定的情况下OpenStack的韧性时，OpenInfra基金会执行董事Jonathan Bryce表示：“我热爱开源的一点是，一旦你开源了一个软件，它就永远属于所有人。真正的开源许可证是全球性和永久性的，这些是非常关键和重要的条款。”

红帽推出OpenStack VMware迁移工具包：简化关键工作负载迁移

Sat, 04 Oct 2025 00:37:25 +0800

红帽OpenStack VMware迁移工具包简介

去年，红帽推出了在OpenShift上运行的Red Hat OpenStack Services，这是Red Hat OpenStack Platform的主要版本。这一架构转变将OpenStack的基础设施即服务（IaaS）能力与Red Hat OpenShift的敏捷性相结合，使组织能够在统一的平台上运行虚拟化和云原生工作负载。随着企业面临优化成本和整合IT环境的压力，尤其是在市场动态变化的背景下，许多企业正在寻找管理云基础设施的现代方法。为解决这一挑战，红帽推出了Red Hat OpenStack VMware迁移工具包（基于上游os-migrate VMware工具包项目），以支持在OpenShift上采用OpenStack Services。