文章预览
漏洞描述: Apache CloudStack是开源的基础设施即服务云计算软件,支持包括 KVM在内的多种虚拟化技术,受影响版本中,由于缺少对上传和注册的 KVM 兼容模板和存储卷的验证,在启用配额功能的情况下,攻击者可以通过上传或注册恶意模板或卷,部署恶意实例,或将上传的卷附加至现有KVM 实例上,从而利用该漏洞访问宿主机的文件系统,修复版本中,通过引入对QCOW2文件的严格验证机制防止外部文件引用以修复漏洞。 影响范围: cloudstack 生态:linux 仓库类型 unmanaged 受影响的版本 [4.19.0.0, 4.19.1.2) 最小修复版本 4.19.1.2 仓库类型 unmanaged 受影响的版本 [4.0.0, 4.18.2.4) 最小修复版本 4.18.2.4 参考链接: https://lists.apache.org/thread/ktsfjcnj22x4kg49ctock3d9tq7jnvlo https://cloudstack.apache.org/blog/security-release-advisory-4.18.2.4-4.19.1.2/
………………………………
