Samuel De Medeiros Queiroz

**Nome do software vulnerável e versões afetadas: OpenStack Keystone versões 10.x a 16.x anteriores à 16.0.2 OpenStack Keystone versões 17.x anteriores à 17.0.1 OpenStack Keystone versões 18.x anteriores à 18.0.1 OpenStack Keystone versões 19.x anteriores à 19.0.1 Descrição: A vulnerabilidade permite a divulgação de informações durante o bloqueio de contas, relacionada aos recursos do PCI DSS. Ao adivinhar o nome de uma conta e falhar na autenticação várias vezes, qualquer agente não autenticado poderia confirmar a existência da conta e obter o UUID correspondente à conta. Essas informações podem ser utilizadas para outros ataques não relacionados. Todas as implantações que habilitam `security compliance.lockout failure attempts` são afetadas. Recomendações: Para as versões 10.x a 16.x do OpenStack Keystone anteriores à 16.0.2, atualize para a versão 16.0.2 ou posterior. Para as versões 17.x do OpenStack Keystone anteriores à 17.0.1, atualize para a versão 17.0.1 ou posterior. Para as versões 18.x do OpenStack Keystone anteriores à 18.0.1, atualize para a versão 18.0.1 ou posterior. Para as versões 19.x do OpenStack Keystone anteriores à 19.0.1, atualize para a versão 19.0.1 ou posterior. Como solução alternativa temporária, considere desativar o recurso `security compliance.lockout failure attempts` até que um patch esteja disponível.