漏洞起因
设计错误
危险等级
中
影响系统
Citrix CloudPlatform 2.x
Citrix CloudPlatform 3.x
Apache CloudStack 4.x
不受影响系统
危害
本地攻击者可以利用漏洞获得敏感信息。
攻击所需条件
攻击者必须访问Apache CloudStack/Citrix CloudPlatform系统。
漏洞信息
CloudStack是一个开源的具有高可用性及扩展性的云计算平台。
Apache CloudStack/Citrix CloudPlatform存在多个安全漏洞,允许本地用户获得敏感信息。
-createSSHKeyPair API命令会把新创建的SSH密钥存储到日志文件中,可泄露密钥信息。
-AddHost API调用记录部分敏感信息到日志文件中,如添加主机的密码。
-DeployVM和ResetPasswordForVM API调用会记录敏感信息到日志文件中,如添加VM的密码。
测试方法
厂商解决方案
目前没有详细解决方案提供:
http://incubator.apache.org/cloudstack/
http://www.citrix.com/products/cloudplatform/overview.html
漏洞提供者
Ahmad Emneina
评论关闭。