[TLP:CLEAR] Apache CloudStack opravuje 2 kritické zraniteľnosti
Apache verziami 4.18.2.1 a 4.19.0.2 opravuje 2 kritické zraniteľnosti v produkte Apache CloudStack. Ako dočasnú opravu je možné obmedziť prístup na server iba pomocou portov nevyhnutných pre správnu funkciu a port klastrovej služby (v základnom nastavení port 9090) obmedziť iba na prístup z dôveryhodných sietí alebo IP adries [1].
Neautentizovanému vzdialenému útočníkovi je umožnené neoprávnene vykonávať kód zasielaním špeciálne vytvorených paketov na API port integrácie, a to aj v prípade, že táto služba nebola v konfigurácii povolená, kedy bude dostupná na náhodnom porte [1][2].
Zraniteľnosť sa nachádza v produkte Apache CloudStack vo verziách (>=4.0.0 AND <4.18.2.1) OR (>=4.19.0.0 AND <4.19.0.2)
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2024-39864 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-665: Improper Initialization at cwe.mitre.org
- CWE-94: Improper Control of Generation of Code ('Code Injection') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 5. 7. 2024.
Neautentizovanému vzdialenému útočníkovi je umožnené neoprávnene vykonávať kód zasielaním špeciálne vytvorených paketov na port klastrovej služby [1][3].
Zraniteľnosť sa nachádza v produkte Apache CloudStack vo verziách (>=4.0.0 AND <4.18.2.1) OR (>=4.19.0.0 AND <4.19.0.2)
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2024-38346 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-94: Improper Control of Generation of Code ('Code Injection') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 5. 7. 2024.
Odkazy
Publikoval Martin Krajči dňa 10. 7. 2024.
