【漏洞预警】Apache CloudStack初始化不当漏洞 (CVE-2024-39864)

admin 2024年7月10日13:30:46评论12 views字数 708阅读2分21秒阅读模式

【漏洞预警】Apache CloudStack初始化不当漏洞 (CVE-2024-39864)

漏洞详情:

Apache CloudStack是一个开源的具有高可用性及扩展性的云计算平台,同时是一个开源云计算解决方案,Apache CloudStack集成API服务允许运行其未经身份验证的API服务器(通常在通过integration.api.port全局设置配置和启用时使用8096端口)进行内部门户集成和测试。
默认情况下,集成API服务端口处于禁用状态,并且当integration.api.port设置为0或负数时,认为该端口处于禁用状态。由于不正确的初始化逻辑,当其端口值设置为0(默认值)时,集成API服务将侦听随机端口,能够访问CloudStack管理网络的攻击者可以扫描并找到随机化的集成API服务端口,并利用它执行未经授权的管理操作,在CloudStack托管主机上执行远程代码执行,导致CloudStack托管基础设施的机密性、完整性和可用性完全受到破坏。

修复方案:
厂商已发布补丁修复漏洞,用户请尽快更新至安全版本:

Apache CloudStack >= 4.18.2.1

Apache CloudStack >= 4.19.0.2

与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

参考链接:
https://lists.apache.org/thread/6l51r00csrct61plkyd3qg3fj99215d1

https://cloudstack.apache.org/blog/security-release-advisory-4.19.0.2-4.18.2.1

原文始发于微信公众号(飓风网络安全):【漏洞预警】Apache CloudStack初始化不当漏洞 (CVE-2024-39864)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月10日13:30:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞预警】Apache CloudStack初始化不当漏洞 (CVE-2024-39864)https://cn-sec.com/archives/2937528.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息