2024年7月9日,网上更新披露了一个Apache CloudStack代码执行漏洞(CVE-2024-38346),Apache CloudStack 是美国阿帕奇(Apache)基金会的一套基础架构即服务(IaaS)云计算平台,主要用于部署和管理大型虚拟机网络。其中集群服务默认监听 9090 端口,用于集群间内部通信,请各位用户尽快安装漏洞补丁。
漏洞风险:受影响版本中该服务未进行身份验证,攻击者可以直接访问集群服务。由于部分命令接口存在未经过滤的输入,攻击者输入恶意字符串可执行任意系统命令。修复版本中通过在集群间使用 mTLS 通信,将集群服务的监听地址限定为指定的集群节点IP,同时强化 KVM 命令的输入参数验证和转义处理,防止恶意输入导致的命令注入。
风险等级:高风险。
影响范围:
4.0.0<= Apache Cloudstack < 4.18.2.1,4.19.0.0 <= Apache Cloudstack < 4.19.0.2
修复建议:
目前官方已有可更新版本,建议受影响用户升级至最新版本。
进行安全更新方法:
https://github.com/apache/cloudstack/releases/tag/4.19.0.2
