Apache CloudStack 权限提升漏洞(CVE-2024-42062)

admin 2024年8月7日21:15:01评论17 views字数 922阅读3分4秒阅读模式
预警公告 高危

近日,安全聚实验室监测到 Apache CloudStack 存在由密钥信息泄露导致的权限提升漏洞,编号为:CVE-2024-42062, 拥有域管理员访问权限的攻击者可以利用此漏洞获得root管理员和其他账户权限,导致权限提升,并且可以执行恶意操作。

01

漏洞描述

Apache CloudStack是一个开源的基础设施即服务(IaaS)平台,旨在提供企业级的云计算解决方案。作为一个全功能的云管理平台,Apache CloudStack能够帮助用户轻松地部署、管理和扩展公共、私有或混合云环境。它支持多个虚拟化技术,如VMware、KVM、XenServer等,同时提供了丰富的管理功能,包括自动化虚拟机管理、网络管理、存储管理等。Apache CloudStack具有高度可扩展性和灵活性,适用于各种规模的云计算部署,从小型部署到大型企业级部署。由于访问权限控制不当,域管理员账户能够查询环境中所有已注册的账户用户API和密钥,包括root管理员的API和密钥。拥有域管理员访问权限的攻击者可以利用此漏洞获取root管理员和其他账户的权限,并执行恶意操作。 

02

影响范围

4.10.0 <= Apache CloudStack <= 4.18.2.2
4.19.0.0 <= Apache CloudStack <= 4.19.1.0 

03

安全措施

目前厂商已发布可更新版本,建议用户尽快更新至 Apache CloudStack 的修复版本或更高的版本:Apache CloudStack >= 4.18.2.3
Apache CloudStack >= 4.19.1.1

下载链接:
https://cloudstack.apache.org/downloads

 

04

参考链接

1.https://cloudstack.apache.org/blog/security-release-advisory-4.19.1.1-4.18.2.3/
2.https://lists.apache.org/thread/lxqtfd6407prbw3801hb4fz3ot3t8wlj

原文始发于微信公众号(安全聚):【漏洞预警】Apache CloudStack 权限提升漏洞(CVE-2024-42062)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月7日21:15:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Apache CloudStack 权限提升漏洞(CVE-2024-42062)http://cn-sec.com/archives/3044345.html

发表评论

匿名网友 填写信息