<div dir="ltr">=====================================================================================<br>OSSA-2019-006: Credentials API allows listing and retrieving of all users credentials<br>=====================================================================================<br><br>:Date: December 09, 2019<br>:CVE: CVE-2019-19687<br><br><br>Affects<br>~~~~~~~<br>- Keystone: ==15.0.0, ==16.0.0<br><br><br>Description<br>~~~~~~~~~~~<br>Daniel Preussker reported a vulnerability in Keystone's list<br>credentials API. Any user with a role on a project is able to list any<br>credentials with the /v3/credentials API when [oslo_policy]<br>enforce_scope is false. Users with a role on a project are able to<br>view any other users credentials, which could leak sign-on information<br>for Time-based One Time Passwords (TOTP) or othewise. Deployments<br>running keystone with [oslo_policy] enforce_scope set to false are<br>affected. There will be a slight performance impact for the list<br>credentials API once this issue is fixed.<br><br><br>Patches<br>~~~~~~~<br>- <a href="https://review.opendev.org/697731">https://review.opendev.org/697731</a> (Stein)<br>- <a href="https://review.opendev.org/697611">https://review.opendev.org/697611</a> (Train)<br>- <a href="https://review.opendev.org/697355">https://review.opendev.org/697355</a> (Ussuri)<br><br><br>Credits<br>~~~~~~~<br>- Daniel Preussker (CVE-2019-19687)<br><br><br>References<br>~~~~~~~~~~<br>- <a href="https://bugs.launchpad.net/keystone/+bug/1855080">https://bugs.launchpad.net/keystone/+bug/1855080</a><br>- <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19687">http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19687</a><br></div>