Apache CloudStack Patches Critical Security Flaws in Latest Release
2024/10/16 SecurityOnline — IaaS (Infrastructure-as-a-Service) クラウドの構築/管理に使用される、人気のオープンソース・プラットフォーム Apache CloudStack の、 LTS セキュリティ・リリース 4.18.2.4/4.19.1.2 が公表された。このリリースでは、4件のセキュリティ脆弱性が対処されているが、そのうちの2件の深刻度は Important と評価されている。
最も深刻度の高い脆弱性 CVE-2024-45219 (Important) は、KVM ベースのインフラ侵害を、攻撃者に許すものである。Apache CloudStack のアドバイザリは、「アップロードされ登録されたテンプレートとボリュームが、KVM ベースのインフラ悪用の可能性を生じている。この脆弱性は、検証チェックの不足に起因しており、攻撃者による悪意のインスタンス展開や、侵害されたボリュームを添付したホストファイル・システムへのアクセスを可能にしてしまう」と説明している。
このアドバイザリには、「脆弱性 CVE-2024-45219 が悪用されると、リソースの整合性破壊/機密性の侵害/データ損失/サービス拒否などが生じ、CloudStack で管理されている KVM ベースのインフラにおける、可用性が低下する恐れがある」と記されている。
もう1つの脆弱性 CVE-2024-45693 (Important) は、リクエストの送信元の検証バイパスに起因し、アカウント乗っ取りにつながる可能性が生じる。この脆弱性の悪用に成功した攻撃者は、ログイン中のユーザーを騙して悪意のリクエストを送信させ、機密データ・アクセスやユーザー・リソース制御の可能性を手にする。
また、深刻度 Moderate と評価されている2件の脆弱性も修正されている。
- CVE-2024-45461:Quota 機能におけるアクセス・チェックの欠如により、Quota コンフィグ不正な変更が許可される可能性がある。
- CVE-2024-45462:Web インターフェースのログアウト時における、不完全なセッション無効化により、ユーザーのブラウザ・セッションがアクティブな状態を維持し、不正アクセスが可能になる。
緩和策
すでに Apache CloudStack プロジェクトは、バージョン 4.18.2.4/4.19.1.2 をリリースしている。ユーザーに対して強く推奨されるのは、ただちにアップデートを行い、これらの脆弱性を緩和することだ。また、このアドバイザリは、テンプレートとボリュームが侵害されていないことを確認するための、スキャンと検証方法についても詳述している。
具体的に言うと、「ユーザーがアップロードまたは登録した、すべての KVM 互換テンプレートとボリュームのスキャンが可能であり、不要な機能を追加していない、フラット・ファイルであることを確認できる」と説明されている。
Apache CloudStack の深刻な脆弱性がFIX とのことです。ご利用のチームは、ご注意ください。なお、CloudStack に関連する直近の記事は、2024/08/07 の「Apache CloudStack の脆弱性 CVE-2024-42062/42222 が FIX:不正アクセスなどに至る恐れ」となります。よろしければ、CloudStack で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.