Apache CloudStack Releases Critical Security Patches – Update Immediately
2024/04/04 SecurityOnline — Apache Software Foundation が発表したのは、人気のクラウド管理プラットフォーム CloudStack 4.18.1.1/4.19.0.1 によりセキュリティ・リリースである。これらのリリースで対処される、3件の脆弱性を悪用する攻撃者は認証を回避し、トラフィックをリダイレクトし、基盤となるインフラの制御を奪う可能性があるという。
脆弱性と影響
CVE-2024-29006 (Moderate): CloudStack の管理サーバ内の X-Forwarded-For HTTP ヘッダーの無制限の解析により、API リクエストの送信元 IP が詐称され、認証をバイパスなどに悪用される可能性が生じる。
CVE-2024-29007 (Moderate): テンプレートや ISO のダウンロード中に、悪意の HTTP リダイレクトへと誘導され、CloudStack の管理サーバや SSVM (Secondary Storage Virtual Machines) に対して不正なリクエストは発行され、機密性の高いリソースが公開される可能性が生じる。
CVE-2024-29008 (Critical):CloudStack の “extraconfig” 仮想マシン・コンフィグ能は、たとえ無効化されていても、ハイパーバイザー・リソースの仮想マシンへのロードにおいて悪用される可能性がある。KVM 環境では、それによるホスト・デバイスのアタッチ能力が攻撃者に与えられ、ネットワークとストレージ・インフラの侵害や、VM ディスクへの不正アクセスが生じる可能性がある。
影響を受けるバージョン
- CVE-2024-29006: Apache CloudStack 4.11.0.0 through 4.18.1.0, and 4.19.0.0
- CVE-2024-29007: Apache CloudStack 4.9.1.0 through 4.18.1.0, and 4.19.0.0
- CVE-2024-29008: Apache CloudStack 4.14.0.0 through 4.18.1.0, and 4.19.0.0
対処法
CloudStack の管理者に対して強く推奨されるのは、バージョン 4.18.1.1/4.19.0.1 へと速やかにアップグレードすることだ。脆弱性 CVE-2024-29008 の深刻度が Critical であるため、パッチを適用せずに放置すると、インフラが乗っ取られる可能性が生じる。
その他の事項
これらの脆弱性は重要なものであるが、プロアクティブなパッチ適用が、クラウド・セキュリティの基本であることを忘れてはならない。定期的なアップデートと脆弱性スキャンは、進化する脅威に対する、強固な防御を維持するのに役立つ。
CloudStack って懐かしいです。いまでも頑張っているようで、嬉しく思います。Wikipedia で調べてみたら、アナウンスは 2010年だったとのことです。そこでは、「CloudStack は、VMware vSphere/XenServer/XCP/XCP-ng などの仮想化ハイパーバイザー・プラットフォームを使用し、独自の API に加えて、AWS API や Open Grid Forum の Open Cloud Computing Interface もサポートしている」と解説されていました。よろしければ、カテゴリ Cloud も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.