Apache CloudStack安全更新修复CVE-2024-50386

Apache CloudStack 是一款开源云基础设施服务平台，设计目标是让用户通过简单Web界面、命令行工具或全面的API来操控云计算环境。

Apache CloudStack 旨在帮助组织部署和管理大规模的虚拟机网络，提供高度可用且可扩展 Infrastructure as a Service（IaaS）解决方案。

一、基本情况

CloudStack 包含完整的功能栈，涵盖了计算编排、网络即服务、用户与账户管理、全功能原生API、资源会计以及一流用户界面等特性。

CloudStack 支持管理多种主流hypervisor虚拟化技术，如VMware vSphere、KVM虚拟机、XenServer、Hyper-V，以及 OVM 和LXC容器。

栋科技关注到Apache CloudStack项目近日发布重要安全公告，针对KVM环境中关键漏洞CVE-2024-50386进行修复，漏洞CVSS评分8.5。

二、漏洞分析

CVE-2024-50386漏洞影响Apache CloudStack版本4.0.0至4.18.2.4以及4.19.0.0至4.19.1.2，漏洞源于其在模板下载时缺乏有效的验证检查。

Apache CloudStack 在默认情况下，允许帐户用户注册模板，并直接下载到主存储中以部署实例，这为攻击者提供了部署恶意实例的机会。

由于通过4.18.2.4的CloudStack 4.0.0和通过4.19.1.2的4.19.0.0中缺少对KVM兼容模板验证检查，这给了可以注册模板的攻击者可乘之机。

攻击者利用这一漏洞在基于KVM的环境中部署恶意实例，获得对主机文件系统访问权限，导致数据丢失、服务拒绝和破坏资源完整性等。

安全研究员 Kiran Chavala 发现并负责任地披露漏洞，Apache CloudStack强烈建议用户升级至新发布的4.18.2.5或4.19.1.3版本修复漏洞。

CloudStack公告提供了验证KVM兼容模板完整性指导，建议管理员对用户注册KVM模板进行严格扫描确保其不包含可能被利用多余功能。

虽然官方命令可帮助识别潜在风险，但公告警告。主要存储的命令执行可能会出现误报和漏报，特别是在模板不断演变或合并的情况下。

三、影响范围

Apache CloudStack 4.0.0 - 4.18.2.4

Apache CloudStack 4.0.0 - 4.19.1.2

四、修复建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

五、参考链接

https://cloudstack.apache.org/blog/security-release-advisory-4.18.2.5-4.19.1.3

 https://lists.apache.org/thread/d0x83c2cyglzzdw8csbop7mj7h83z95y

https://www.shapeblue.com/shapeblue-security-advisory-apache-cloudstack-security-releases-4-18-2-5-and-4-19-1-3/