「Apache CloudStack」に複数脆弱性 - アップデートや回避策の実施を
クラウドコンピューティングプラットフォーム「Apache CloudStack」の開発チームは、セキュリティアップデートとなる「同4.19.0.2」「同4.18.2.1」をリリースした。複数の脆弱性に対処している。
現地時間7月5日にセキュリティアドバイザリを公表し、2件の脆弱性「CVE-2024-38346」「CVE-2024-39864」に対処したことを明らかにしたもの。開発チームでは、脆弱性の重要度を4段階中、上から2番目にあたる「重要(Important)」とレーティングしている。
「CVE-2024-38346」は、認証されていないクラスターサービスポートが動作し、不正利用されるとリモートよりハイパーバイザーやCloudStack管理サーバホスト上で任意のコマンドを実行が可能となる脆弱性。さらにコマンドインジェクションの脆弱性が存在し、特権ユーザーとして任意のコードの実行も可能となる。
また初期化に問題があり、本来デフォルトで無効化されている「API」が、ランダムなポートで動作する脆弱性「CVE-2024-39864」が判明した。ポートスキャンなどで特定された場合、リモートより管理ホスト上でコード実行されるおそれがある。
米国立標準技術研究所(NIST)の脆弱性データベース「NVD」や、米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)では、共通脆弱性評価システム「CVSSv3.1」のベーススコアをともに「9.8」と評価しており、重要度を「クリティカル(Critical)」とレーティングしている。
開発チームでは、脆弱性を修正した「同4.19.0.2」「同4.18.2.1」へアップデートするよう求めるとともに、アップデートできない場合は、ポートへのアクセスを制限するなど回避策を講じるよう利用者に注意を呼びかけている。
(Security NEXT - 2024/07/09 )
ツイート
PR
関連記事
成人祝賀イベントの参加者向けメールで誤送信 - 酒田市
米当局、脆弱性悪用確認リストに7件追加 - IEなど旧製品関連も
「Microsoft Defender」に権限昇格やDoS脆弱性 - 悪用を確認
「TrendAI Apex One」に複数脆弱性 - 一部はすでに悪用
海外グループ会社にサイバー攻撃、業務影響は解消 - 近鉄エクスプレス
「BIND 9」に複数の脆弱性、すみやかな更新を強く推奨
複数ECサイトから顧客情報約310万件が流出 - ユニバーサルミュージック
「Drupal」が緊急更新を予定 - 数時間で脆弱性悪用の可能性
「Drupal」に深刻なSQLi脆弱性 - 影響ない環境も更新を強く推奨
「Chrome」にセキュリティ更新 - クリティカル含む脆弱性16件を修正
