CVE-2021-38155

**Nome do software vulnerável e versões afetadas:

OpenStack Keystone versões 10.x a 16.x anteriores à 16.0.2

OpenStack Keystone versões 17.x anteriores à 17.0.1

OpenStack Keystone versões 18.x anteriores à 18.0.1

OpenStack Keystone versões 19.x anteriores à 19.0.1

Descrição:

A vulnerabilidade permite a divulgação de informações durante o bloqueio de contas, relacionada aos recursos do PCI DSS. Ao adivinhar o nome de uma conta e falhar na autenticação várias vezes, qualquer agente não autenticado poderia confirmar a existência da conta e obter o UUID correspondente à conta. Essas informações podem ser utilizadas para outros ataques não relacionados. Todas as implantações que habilitam security compliance.lockout failure attempts são afetadas.

Recomendações:

Para as versões 10.x a 16.x do OpenStack Keystone anteriores à 16.0.2, atualize para a versão 16.0.2 ou posterior.

Para as versões 17.x do OpenStack Keystone anteriores à 17.0.1, atualize para a versão 17.0.1 ou posterior.

Para as versões 18.x do OpenStack Keystone anteriores à 18.0.1, atualize para a versão 18.0.1 ou posterior.

Para as versões 19.x do OpenStack Keystone anteriores à 19.0.1, atualize para a versão 19.0.1 ou posterior.

Como solução alternativa temporária, considere desativar o recurso security compliance.lockout failure attempts até que um patch esteja disponível.