Apache CloudStack/Citrix CloudPlatform CVE-2012-5616日志信息泄露漏洞

漏洞起因
设计错误
危险等级

影响系统
Citrix CloudPlatform 2.x
Citrix CloudPlatform 3.x
Apache CloudStack 4.x

不受影响系统

危害
本地攻击者可以利用漏洞获得敏感信息。

攻击所需条件
攻击者必须访问Apache CloudStack/Citrix CloudPlatform系统。

漏洞信息
CloudStack是一个开源的具有高可用性及扩展性的云计算平台。
Apache CloudStack/Citrix CloudPlatform存在多个安全漏洞,允许本地用户获得敏感信息。
-createSSHKeyPair API命令会把新创建的SSH密钥存储到日志文件中,可泄露密钥信息。
-AddHost API调用记录部分敏感信息到日志文件中,如添加主机的密码。
-DeployVM和ResetPasswordForVM API调用会记录敏感信息到日志文件中,如添加VM的密码。

测试方法

厂商解决方案
目前没有详细解决方案提供:
http://incubator.apache.org/cloudstack/
http://www.citrix.com/products/cloudplatform/overview.html

漏洞提供者
Ahmad Emneina

评论关闭。