「Apache CloudStack」に4件の脆弱性 - アップデートがリリース
クラウドインフラストラクチャの構築、管理を行うプラットフォーム「Apache CloudStack」の開発チームは、複数の脆弱性が明らかになったとして、アップデートをリリースした。
現地時間10月15日にセキュリティアドバイザリを公開し、あわせて4件の脆弱性について明らかにしたもの。「CVE-2024-45219」「CVE-2024-45693」については、4段階の重要度で上から2番目にあたる「重要(Important)」とレーティングしている。
「CVE-2024-45219」は、KVMベースのインフラが影響を受ける脆弱性。利用者がアップロードしたテンプレートやボリュームを通じて、悪意のあるインスタンスをデプロイしたり既存のインスタンスに不正なボリュームを接続することで、KVMホストのファイルシステムに対するアクセスが可能となる。
「CVE-2024-45693」は、クロスサイトリクエストフォージェリ(CSRF)の脆弱性としており、アカウントの乗っ取りや重要なデータの流出、リソースの改ざんといった影響を受けるおそれがある。
ウェブインターフェイスでログアウト操作が完了しない「CVE-2024-45462」、クォータ機能を有効化している場合に、管理者以外が設定などにアクセスし、変更が可能となる「CVE-2024-45461」については、重要度を1段階低い「中(Moderate)」とした。
(Security NEXT - 2024/10/29 )
ツイート
関連リンク
PR
関連記事
関係者リストを誤送信、入力用様式と同一ファイル名で取り違え - 堺市
「WatchGuard Firebox」のVPN機能に深刻なRCE脆弱性
「PHP」にセキュリティ更新 - 複数の脆弱性を修正
防災メールサービスが迷惑メール送信に悪用 - 和歌山県
会合で患者の個人情報を示唆、職員を処分 - 佐賀県医療センター好生館
グループ会社に不正アクセス、業務関連情報が流出か - ABCテレビ
セイコーSOL製IoT向け一部ルータに脆弱性 - 修正予定なし
コンテナ管理ツール「Rancher」に脆弱性 - アップデートを公開
「NVIDIA Container Toolkit」に権限昇格の脆弱性 - 「GPU Operator」も影響
介護サービスの評価システムにサイバー攻撃 - システムを一時停止

