Cảnh báo lỗ hổng nghiêm trọng trong nền tảng OpenStack

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
93
609 bài viết
Cảnh báo lỗ hổng nghiêm trọng trong nền tảng OpenStack
OpenStack Foundation vừa phát hành một thông báo bảo mật khẩn cấp, tiết lộ một lỗ hổng nghiêm trọng (CVE-2024-32498, CVSS 8.8) ảnh hưởng đến nhiều thành phần cốt lõi của nền tảng hạ tầng đám mây OpenStack.

Lỗ hổng này có thể cho phép kẻ tấn công truy cập trái phép vào dữ liệu nhạy cảm trong các dịch vụ Cinder (lưu trữ khối), Glance (quản lý hình ảnh) và Nova (tính toán).

Oracle WebLogic (2).png

Các phiên bản bị ảnh hưởng bởi CVE-2024-32498:
  • Cinder: Các phiên bản <22.1.3, >=23.0.0 <23.1.1, và 24.0.0
  • Glance: Các phiên bản <26.0.1, 27.0.0, và >=28.0.0 <28.0.2
  • Nova: Các phiên bản <27.3.1, >=28.0.0 <28.1.1, và >=29.0.0 <29.0.3
Lỗ hổng này khai thác cơ chế xử lý hình ảnh QCOW2 trong các dịch vụ Cinder, Glance và Nova. Một người dùng đã xác thực có thể cung cấp một hình ảnh QCOW2 được tạo đặc biệt tham chiếu đến một đường dẫn tệp dữ liệu cụ thể. Khi được xử lý, hệ thống có thể bị lừa để trả về nội dung của tệp tham chiếu từ máy chủ, dẫn đến việc truy cập trái phép vào dữ liệu nhạy cảm.

Các chuyên gia khuyến cáo người dùng và quản trị viên OpenStack cần khẩn trương cập nhật hệ thống của mình lên các phiên bản mới nhất đã được vá lỗi để bảo vệ khỏi lỗ hổng này.

 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
cve-2024-32498 lỗ hổng openstack
Bên trên