Apache CloudStack 在最新版本中修补了重大安全漏洞

阅读量31669

发布时间 : 2024-10-17 10:26:43

x
译文声明

本文是翻译文章,文章原作者 do son,文章来源:securityonline

原文地址:https://securityonline.info/apache-cloudstack-patches-critical-security-flaws-in-latest-release/

译文仅供参考,具体内容表达以及含义原文为准。

CVE-2024-45219 - CVE-2024-45693

Apache CloudStack 项目宣布发布 LTS 安全版本 4.18.2.4 和 4.19.1.2,以解决四个安全漏洞,其中两个被评为 “重要”。CloudStack 是一个流行的开源平台,用于构建和管理基础设施即服务(IaaS)云。

最严重的漏洞 CVE-2024-45219 可让攻击者控制基于 KVM 的基础架构。该公告警告说:“上传和注册的模板和卷可用于滥用基于 KVM 的基础架构。该漏洞源于验证检查的缺失,使攻击者能够部署恶意实例或附加受攻击的卷,从而访问主机文件系统。”

该项目解释说:“这可能导致由 CloudStack 管理的基于 KVM 的基础架构的资源完整性和保密性受损、数据丢失、拒绝服务和可用性。”

另一个 “重要 ”缺陷(CVE-2024-45693)涉及请求来源验证绕过,可能导致账户接管。攻击者可以诱骗登录用户提交恶意请求,从而可能允许访问敏感数据和控制用户的资源。

此外,还修补了两个 “中等 ”严重性漏洞:

  • CVE-2024-45461: 配额功能中未执行访问检查,可能允许未经授权修改配额配置。
  • CVE-2024-45462:网络界面注销时会话失效不彻底,如果用户的浏览器会话仍处于活动状态,则可能导致未经授权的访问。

缓解措施

Apache CloudStack 项目强烈建议用户升级到 4.18.2.4 或 4.19.1.2 版本,以缓解这些漏洞。该公告还详细说明了如何扫描和验证模板和卷,以确保它们不会受到攻击。

“此外,还可以扫描所有用户上传或注册的 KVM 兼容模板和卷,并检查它们是否为平面文件,是否使用了任何额外或不必要的功能”,该公告称,“此外,还可以扫描所有用户上传或注册的 KVM 兼容模板和卷,并检查它们是否为平面文件,是否使用了任何额外或不必要的功能。”

本文翻译自securityonline 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66