Xena 系列发布说明¶
20.0.1-7¶
新特性¶
可以使用一个新的选项 ‘randomize_urls’ 来随机化 keystone 连接 LDAP 服务器的顺序,在 [ldap] ‘url’ 列表中。默认情况下为 false。
安全问题¶
如果 max_password_length 大于所选密码哈希算法允许的长度,密码现在将自动截断。目前只有 bcrypt 定义了固定的允许长度,为 54 个字符。如果密码被截断,将在日志中生成警告。这不会影响现有密码,但是,只有现有 bcrypt 密码的前 54 个字符将被验证。
[bug 1992183] [CVE-2022-2447] 使用应用程序凭证颁发的令牌现在将对其到期时间进行验证,验证依据是应用程序凭证的到期时间。如果应用程序凭证在令牌之前到期,则令牌的到期时间将设置为与应用程序凭证相同的到期时间。否则,令牌将使用配置的值。
错误修复¶
使用 bcrypt 算法哈希的密码现在会被正确截断到算法允许的最大长度。这解决了 Keystone 升级后,超过 54 个字符的密码失效的回归问题。
20.0.1¶
错误修复¶
[bug 1926483] Keystone 现在只会为 Fernet 令牌记录令牌长度警告,当令牌长度超过 keystone.conf [DEFAULT] max_token_size 的值时。
20.0.0¶
升级说明¶
[bug 1929066] 增加 id_mapping 表中 local_id 列的长度,以适应导致名称超过 64 个字符的 LDAP 组名。
错误修复¶
[bug 1688137] 修复了向最终用户显示 AccountLocked 异常的问题,因为它提供了一些可能被恶意用户利用的信息。最终用户现在将看到 Unauthorized 而不是 AccountLocked,从而防止用户信息 oracle 漏洞利用。
[bug 1885753] Keystone 的 SQL 身份后端现在会重试更新用户请求,以安全地处理两个客户端同时更新用户时的陈旧数据。
