Boletines de Vulnerabilidades |
Vulnerabilidad en CloudStack |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Obtener acceso |
Dificultad | Avanzado |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | GNU/Linux |
Software afectado | Todas las versiones de CloudStack publicadas por Citrix/Cloud.com se creen que están afectadas. |
Descripción |
|
Se ha descubierto una vulnerabilidad en CloudStack. La vulnerabilidad reside en un problema de configuración en el que un atacante podría ejecutar de manera malintencionada la API CloudStack, por ejemplo, se podría eliminar todas las máquinas virtuales del sistema. |
|
Solución |
|
Se recomienda aplicar el fix publicado por el fabricante. También se aconseja entrar en la base de datos MySQL que respalda el sistema y establecer una contraseña aleatoria de la cuenta cloud.user. |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE | CVE-2012-4501 |
BID | |
Recursos adicionales |
|
Apache Security - Cloudstack configuration vulnerability discovered http://incubator.apache.org/cloudstack/blog/185-cloudstack-configuration-vulnerability-discovered.html The H Security - CloudStack alert users to critical vulnerability http://www.h-online.com/security/news/item/CloudStack-alert-users-to-critical-vulnerability-1726599.html |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2012-11-07 |