Eucalyptus SOAP接口远程任意命令注入漏洞

漏洞起因
设计错误
危险等级
中

影响系统
Eucalyptus Systems Eucalyptus 2.0.2
Eucalyptus Systems Eucalyptus 2.0.1
Eucalyptus Systems Eucalyptus 2.0.0
Eucalyptus Systems Eucalyptus 1.6.2

不受影响系统
Eucalyptus Systems Eucalyptus 2.0.3

危害
远程攻击者可以利用漏洞向Eucalyptus SOAP接口提交任意命令。

攻击所需条件
攻击者必须访问Eucalyptus。

漏洞信息
Eucalyptus是一款开源的软件基础结构，用来通过计算集群或工作站群实现弹性的、实用的云计算。
漏洞允许能访问验证用户和Eucalyptus安装间网络通信的未验证远程攻击者修改截获的SOAP请求，并以验证用户上下文向Eucalyptus SOAP接口提交任意命令。

测试方法

厂商解决方案
Eucalyptus Systems Eucalyptus 2.0.3已经修复此漏洞，建议用户下载使用：
http://www.eucalyptus.com/

漏洞提供者
Juraj Somorovsky, Jorg Schwenk, Meiko Jensen, and Xiaofeng Lou

漏洞消息链接
http://open.eucalyptus.com/wiki/esa-02

← Google Chrome跨站脚本过滤器安全绕过漏洞

Symantec Backup Exec for Windows Server未授权访问漏洞 →

ZeroBox Vulnerability Database

坚持！我们将做的更好！

Eucalyptus SOAP接口远程任意命令注入漏洞

0 条评论。

发表评论