Vulnerability Bulletins |
Vulnerabilidad en CloudStack |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Obtener acceso |
| Dificulty | Avanzado |
| Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
| Property | Value |
| Affected manufacturer | GNU/Linux |
| Affected software | Todas las versiones de CloudStack publicadas por Citrix/Cloud.com se creen que están afectadas. |
Description |
|
|
Se ha descubierto una vulnerabilidad en CloudStack. La vulnerabilidad reside en un problema de configuración en el que un atacante podría ejecutar de manera malintencionada la API CloudStack, por ejemplo, se podría eliminar todas las máquinas virtuales del sistema. |
|
Solution |
|
|
Se recomienda aplicar el fix publicado por el fabricante. También se aconseja entrar en la base de datos MySQL que respalda el sistema y establecer una contraseña aleatoria de la cuenta cloud.user. |
|
Standar resources |
|
| Property | Value |
| CVE | CVE-2012-4501 |
| BID | |
Other resources |
|
|
Apache Security - Cloudstack configuration vulnerability discovered http://incubator.apache.org/cloudstack/blog/185-cloudstack-configuration-vulnerability-discovered.html The H Security - CloudStack alert users to critical vulnerability http://www.h-online.com/security/news/item/CloudStack-alert-users-to-critical-vulnerability-1726599.html |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2012-11-07 |