개요
Apache CloudStack 에서 발생하는 취약점을 해결하는 업데이트를 발표하였습니다. 해당하는 버전 사용자는 최신 버전으로 업데이트하시기 바랍니다.
대상 제품
CVE-2024-45219
- CloudStack 버전: 4.0.0(포함) ~ 4.18.2.3(포함)
- CloudStack 버전: 4.19.0.0(포함) ~ 4.19.1.1(포함)
CVE-2024-45693, CVE-2024-45462
- CloudStack 버전: 4.15.1.0(포함) ~ 4.18.2.3(포함)
- CloudStack 버전: 4.19.0.0(포함) ~ 4.19.1.1(포함)
해결된 취약점
KVM 호환 템플릿 및 볼륨에 대한 검증이 누락되어, 공격자가 악성 인스턴스를 배포하거나 호스트 파일 시스템에 접근하여 자원 무결성, 기밀성 침해, 데이터 손실, 서비스 거부 등을 일으킬 수 있는 취약점(CVE-2024-45219)
웹 인터페이스에서 요청 출처에 대한 검증이 누락되어, 공격자가 CSRF 요청을 통해 사용자의 계정을 탈취하거나 자원에 접근할 수 있는 취약점(CVE-2024-45693)
로그아웃 후에도 세션이 만료되지 않아, 공격자가 사용자 브라우저에 접근하면 로그아웃된 계정의 자원에 접근할 수 있는 취약점(CVE-2024-45462)
취약점 패치
최신 업데이트를 통해 취약점 패치가 제공되었습니다. 참고 사이트의 안내에 따라 최신 취약점 패치 버전으로 업데이트 하시기 바랍니다.
CVE-2024-45219, CVE-2024-45693, CVE-2024-45462
- CloudStack 버전: 4.18.2.4
- CloudStack 버전: 4.19.1.2
참고 사이트
[1] CVE-2024-45219 Detail
https://nvd.nist.gov/vuln/detail/CVE-2024-45219
[2] CVE-2024-45693 Detail
https://nvd.nist.gov/vuln/detail/CVE-2024-45693
[3] CVE-2024-45462 Detail
https://nvd.nist.gov/vuln/detail/CVE-2024-45462
[4] [ADVISORY] Apache CloudStack LTS Security Releases 4.18.2.4 and 4.19.1.2
https://cloudstack.apache.org/blog/security-release-advisory-4.18.2.4-4.19.1.2/