Apache CloudStack 项目宣布发布 LTS 安全版本 4.18.2.4 和 4.19.1.2,以解决四个安全漏洞,其中两个被评为 “重要”。CloudStack 是一个流行的开源平台,用于构建和管理基础设施即服务(IaaS)云。最严重的漏洞 CVE-2024-45219 可让攻击者控制基于 KVM 的基础架构。该公告警告说:“上传和注册的模板和卷可用于滥用基于 KVM 的基础架构。该漏洞源于验证检查的缺失,使攻击者能够部署恶意实例或附加受攻击的卷,从而访问主机文件系统。”该项目解释说:“这可能导致由 CloudStack 管理的基于 KVM 的基础架构的资源完整性和保密性受损、数据丢失、拒绝服务和可用性。”另一个 “重要 ”缺陷(CVE-2024-45693)涉及请求来源验证绕过,可能导致账户接管。攻击者可以诱骗登录用户提交恶意请求,从而可能允许访问敏感数据和控制用户的资源。此外,还修补了两个 “中等 ”严重性漏洞:CVE-2024-45461: 配额功能中未执行访问检查,可能允许未经授权修改配额配置。CVE-2024-45462:网络界面注销时会话失效不彻底,如果用户的浏览器会话仍处于活动状态,则可能导致未经授权的访问。缓解措施Apache CloudStack 项目强烈建议用户升级到 4.18.2.4 或 4.19.1.2 版本,以缓解这些漏洞。该公告还详细说明了如何扫描和验证模板和卷,以确保它们不会受到攻击。“此外,还可以扫描所有用户上传或注册的 KVM 兼容模板和卷,并检查它们是否为平面文件,是否使用了任何额外或不必要的功能”,该公告称,“此外,还可以扫描所有用户上传或注册的 KVM 兼容模板和卷,并检查它们是否为平面文件,是否使用了任何额外或不必要的功能。”
