Множественные уязвимости в Apache CloudStack

Дата публикации:
14.01.2014
Дата изменения:
14.01.2014
Всего просмотров:
1171
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
2
CVSSv2 рейтинг:
(AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:O/RC:C) = Base:5/Temporal:3.7
CVE ID:
CVE-2013-6398
CVE-2014-0031
Вектор эксплуатации:
Удаленная
Воздействие:
Раскрытие важных данных
Обход ограничений безопасности
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Apache CloudStack 4.x
Уязвимые версии: Apache CloudStack версии до 4.2.1.

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти некоторые ограничения безопасности и получить доступ к важным данным.

1. Уязвимость существует из-за ошибки в виртуальных маршрутизаторах. Удаленный пользователь может обойти правила фильтрации МСЭ, если администратор остановит, а затем перезапустит виртуальный маршрутизатор.

2. Уязвимость существует из-за ошибки при обработке listNetworkACLLists API. Удаленный пользователь может просмотреть списки контроля доступа, настроенные для других пользователей.

URL производителя: http://incubator.apache.org/cloudstack/

Решение: Установите последнюю версию 4.2.1 с сайта производителя.

Ссылки: https://blogs.apache.org/cloudstack/entry/cve_2013_6398_cloudstack_virtual
https://issues.apache.org/jira/browse/CLOUDSTACK-5263
https://blogs.apache.org/cloudstack/entry/cve_2014_0031_cloudstack_listnetworkacl
https://issues.apache.org/jira/browse/CLOUDSTACK-5145

или введите имя

CAPTCHA