Apache CloudStack修复CVE-2024-45219等漏洞

CloudStack是一个开源具有高可用性及扩展性云计算平台，同时是一个开源云计算解决方案，是构建和部署云计算基础设施强有力工具。

一、基本情况

Apache CloudStack 提供一个高度可用且高度可扩展IaaS云平台，广泛应用于服务提供商公共云服务及企业的私有云或混合云解决方案。

Apache CloudStack不仅包括计算编排、网络即服务、用户和账户管理等核心功能，还提供了一个完整的、开放的API和一流的用户界面。

Apache CloudStack支持多种虚拟化技术，包括VMware vSphere、KVM、XenServer、XenProject以及Hyper-V等，支持OVM和LXC容器。

栋科技漏洞库关注到CloudStack近期发布更新用于修复CVE-2024-45219、CVE-2024-45693、CVE-2024-45461、CVE-2024-45462漏洞。

二、漏洞分析

Apache CloudStack 项目近期发布LTS安全版本4.18.2.4 和 4.19.1.2，解决CVE-2024-45219等四个安全漏洞，接下来我们对其逐一分析。

CVE-2024-45219：

CVE-2024-45219漏洞源于验证检查的缺失，攻击者可能利用其部署恶意实例或附加受攻击的卷从而访问主机文件系统，CVSS评分8.5。

在默认情况下，Apache CloudStack 中的帐户用户可以上传和注册用于部署实例和卷的模板，以便将它们作为数据磁盘附加到现有实例。

CloudStack 4.0.0 至4.18.2.3及4.19.0.0至4.19.1.1中缺少对KVM兼容模板或卷的验证检查，使得攻击者拥有上传或注册模板和卷的机会。

从而使得攻击者能能够部署恶意实例或或者将卷上传到基于 KVM 的环境中的现有实例，并利用此漏洞获取对主机文件系统的访问权限。

这样的情况可能会导致资源完整性和机密性、数据丢失、拒绝服务以及由CloudStack管理的基于KVM的基础架构的资源可用性受到损害。

CVE-2024-45693：

CVE-2024-45693漏洞源于对请求来源的验证，登录Apache CloudStack Web界面用户可能被欺骗提交恶意CSRF请求，CVSS评分8.8。

攻击者可以诱骗登录用户提交恶意请求，从而获得特权并访问经过身份验证的用户的资源，并可能导致帐户接管、中断、敏感数据暴露。

可导致攻击者访问敏感数据和控制用户资源，并损害平台管理的用户帐户所拥有资源完整性，和CVE-2024-45693一样被列入高危名单。

CVE-2024-45461：

CVE-2024-45461漏洞源于配额功能未执行访问检查，默认禁用的CloudStack 配额功能允许云管理员对云资源实施配额或使用限制系统。

在启用该功能环境中，由于缺少访问检查强制措施，使得非管理Apache CloudStack 用户帐户能够访问和修改与配额相关的配置和数据。

该漏洞的CVSS评分为6.3，除升级版本,外，建议不使用配额功能的用户通过将全局设置“quota.enable.service”设置为“false”禁用该插件。

CVE-2024-45462：

CVE-2024-45462漏洞源于CloudStack Web界面注销时会话失效不彻底，如果用户浏览器会话仍处于活动状态，可能导致未经授权访问。

CloudStack Web 界面的注销操作不会使用户会话完全过期，使得用户当前会话在时间过期或后端服务重新启动之前一直处于有效状态。

该漏洞的CVSS评分为7.1，该漏洞可能会导致有权访问用户浏览器的攻击者能够使用未过期的会话来访问已注销的用户帐户拥有的资源。

三、漏洞影响

CVE-2024-45219：Apache CloudStack 4.0.0 至 4.18.2.3 以及 4.19.0.0 至 4.19.1.1

CVE-2024-45693：Apache CloudStack 4.15.1.0 至 4.18.2.3 以及 4.19.0.0 至 4.19.1.1

CVE-2024-45461：Apache CloudStack 从 4.7.0 到 4.18.2.3；以及从 4.19.0.0 到 4.19.1.1

CVE-2024-45462：Apache CloudStack 从 4.15.1.0 到 4.18.2.3；以及从 4.19.0.0 到 4.19.1.1

四、修复建议

Apache CloudStack 项目已经发布 LTS 安全版本 4.18.2.4 和 4.19.1.2，以解决上述四个安全漏洞，强烈建议用户升级以缓解这些漏洞。