Keystone és el servei d’identitat d’OpenStack: el que decideix qui ets i què pots fer dins del núvol. Quan alguna cosa hi falla, el problema no es queda en un racó. Es reparteix per tots els serveis que hi confien per autenticar i autoritzar peticions. Per això l’avís DSA-6331-1, publicat per l’equip de seguretat de Debian el 8 de juny de 2026, mereix atenció si gestiones una instal·lació d’OpenStack sobre Debian.
Què s’ha corregit
El pedaç agrupa diverses vulnerabilitats. La que encapçala l’avís és CVE-2026-44394, però l’actualització porta també correccions per a CVE-2026-42998, CVE-2026-42999, CVE-2026-43000 i CVE-2026-43001. En conjunt, els errors podien provocar quatre tipus de comportament no desitjat:
- Bypass d’autorització: fer accions per a les quals en teoria no es tenen permisos.
- Escalada de privilegis: passar d’un rol limitat a un altre amb més capacitats.
- Suplantació d’usuaris: actuar en nom d’un altre compte.
- Terminació incompleta de privilegis d’accés: que una credencial o un permís continuï sent vàlid quan ja s’hauria d’haver revocat.
Aquest últim punt és el més silenciós dels quatre. Revoques un token o treus un rol i creus que l’accés s’ha tancat, però no del tot. En un entorn multitenant, on diversos clients comparteixen la mateixa infraestructura, aquest tipus d’error pot voler dir que algú continuï veient o tocant recursos que ja no li pertoquen.
A qui afecta
A qualsevol desplegament d’OpenStack que faci servir els paquets de Keystone empaquetats per Debian. L’avís cobreix dues branques:
- Debian 12 (Bookworm), on l’error es corregeix a la versió
2:22.0.2-0+deb12u3. - Debian 13 (Trixie), corregit a
2:27.0.0-3+deb13u4.
Totes dues actualitzacions inclouen a més dos pedaços extra (CVE-2026-40683 i CVE-2026-33551) que estaven previstos per als propers point releases i que Debian va decidir avançar en aquest mateix paquet.
Gravetat i mitigació
Debian no assigna puntuacions CVSS pròpies als seus avisos, però el conjunt d’impactes (suplantació i escalada incloses) el situa al rang de gravetat alta. No hi ha constància pública d’explotació activa en el moment de la divulgació, cosa que no és excusa per esperar: els errors d’autorització en un servei d’identitat són just el tipus de cosa que un atacant amb un punt de suport dins del núvol buscaria aprofitar.
La mitigació és directa. Actualitza el paquet de Keystone a la versió corregida de la teva branca:
sudo apt update
sudo apt install keystoneDesprés d’instal·lar, reinicia els serveis de Keystone (o el WSGI que el serveixi, segons el teu desplegament) perquè el codi nou entri en ús. Si gestiones el núvol amb eines d’orquestració com Kolla, o un desplegament manual amb Apache/uWSGI, comprova que el servei recarregui de debò. Un apt install que no va seguit d’un reinici del procés deixa el codi antic carregat a la memòria.
Si treballes amb Debian en producció, t’interessa seguir de prop els avisos de seguretat i planificar les actualitzacions del nucli i els serveis crítics. En parlem a la nostra fitxa de Debian.
Font
- Avís oficial: Debian Security Announce – DSA-6331-1 keystone
- Detall del CVE: CVE-2026-44394 a NVD