[TLP:CLEAR] Apache CloudStack opravuje vysoce závažnou zranitelnost
Apache verzemi 4.18.2.5 a 4.19.1.3 opravuje vysoce závažnou zranitelnost [2].
Autentizovanému vzdálenému útočníkovi je kvůli nedostatečné kontrole při registraci KVM-kompatibilních šablon umožněno nasadit škodlivou šablonu na virtuální stroj. Může tak získat neoprávněný přístup k datům, hostitelskému souborovému systému nebo vykonat útok DoS na hostitelský systém [1]. Mimo aktualizaci na opravenou verzi je doporučeno kontrolovat, zda KVM-kompatibilní šablony registrované uživateli neobsahují nepovolené nebo nadbytečné funkce. Například pro identifikaci podezřelých disků s odkazy na hostitelské souborové systémy může operátor využít příkazový nástroj "qemu-img", výsledky však mohou být falešně pozitivní i negativní. Více informací naleznete na [2].
Zranitelnost se nachází v produktu Apache CloudStack ve verzích ve verzích (>=4 AND <4.18.2.5) OR (>=4.19 AND <4.19.1.3)
CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H
Více informací:
- CVE-2024-50386 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-20: Improper Input Validation at cwe.mitre.org
Zranitelnost byla veřejně oznámena 12. 11. 2024.
Odkazy
Publikovala Michaela Ručková dne 25. 11. 2024.
