Keystone es el servicio de identidad de OpenStack: el que decide quién eres y qué puedes hacer dentro de la nube. Cuando algo falla ahí, el problema no se queda en un rincón. Se reparte por todos los servicios que confían en él para autenticar y autorizar. Por eso el aviso DSA-6331-1, publicado por el equipo de seguridad de Debian el 8 de junio de 2026, merece atención si gestionas una instalación de OpenStack sobre Debian.
Qué se ha corregido
El parche agrupa varias vulnerabilidades. La que encabeza el aviso es CVE-2026-44394, pero la actualización trae también correcciones para CVE-2026-42998, CVE-2026-42999, CVE-2026-43000 y CVE-2026-43001. En conjunto, los fallos podían provocar cuatro tipos de comportamiento indeseado:
- Bypass de autorización: realizar acciones para las que en teoría no se tienen permisos.
- Escalada de privilegios: pasar de un rol limitado a otro con más capacidades.
- Suplantación de usuarios: actuar en nombre de otra cuenta.
- Terminación incompleta de privilegios de acceso: que una credencial o un permiso siga siendo válido cuando ya debería haberse revocado.
Este último punto es el más silencioso de los cuatro. Revocas un token o quitas un rol y crees que el acceso se ha cerrado, pero no del todo. En un entorno multitenant, donde varios clientes comparten la misma infraestructura, ese tipo de fallo puede traducirse en que alguien siga viendo o tocando recursos que ya no le corresponden.
A quién afecta
A cualquier despliegue de OpenStack que use los paquetes de Keystone empaquetados por Debian. El aviso cubre dos ramas:
- Debian 12 (Bookworm), donde el fallo se corrige en la versión
2:22.0.2-0+deb12u3. - Debian 13 (Trixie), corregido en
2:27.0.0-3+deb13u4.
Ambas actualizaciones incluyen además dos parches extra (CVE-2026-40683 y CVE-2026-33551) que estaban previstos para los próximos point releases y que Debian decidió adelantar en este mismo paquete.
Gravedad y mitigación
Debian no asigna puntuaciones CVSS propias en sus avisos, pero el conjunto de impactos (suplantación y escalada incluidas) lo sitúa en el rango de gravedad alta. No hay constancia pública de explotación activa en el momento de la divulgación, lo cual no es excusa para esperar: los fallos de autorización en un servicio de identidad son justo el tipo de cosa que un atacante con un punto de apoyo dentro de la nube buscaría aprovechar.
La mitigación es directa. Actualiza el paquete de Keystone a la versión corregida de tu rama:
sudo apt update
sudo apt install keystoneTras instalar, reinicia los servicios de Keystone (o el WSGI que lo sirva, según tu despliegue) para que el código nuevo entre en uso. Si gestionas la nube con herramientas de orquestación como Kolla o un despliegue manual con Apache/uWSGI, comprueba que el servicio recargue de verdad. Un apt install que no va seguido de un reinicio del proceso deja el código antiguo cargado en memoria.
Si trabajas con Debian en producción, te interesa seguir de cerca los avisos de seguridad y planificar las actualizaciones del kernel y los servicios críticos. Hablamos de ello en nuestra ficha de Debian.
Fuente
- Aviso oficial: Debian Security Announce – DSA-6331-1 keystone
- Detalle del CVE: CVE-2026-44394 en NVD