Apache CloudStack 项目宣布发布 LTS 安全版本 4.18.2.4 和 4.19.1.2，以解决四个安全漏洞，其中两个被评为 “重要”。CloudStack 是一个流行的开源平台，用于构建和管理基础设施即服务（IaaS）云。

最严重的漏洞 CVE-2024-45219 可让攻击者控制基于 KVM 的基础架构。该公告警告说：“上传和注册的模板和卷可用于滥用基于 KVM 的基础架构。该漏洞源于验证检查的缺失，使攻击者能够部署恶意实例或附加受攻击的卷，从而访问主机文件系统。”

该项目解释说：“这可能导致由 CloudStack 管理的基于 KVM 的基础架构的资源完整性和保密性受损、数据丢失、拒绝服务和可用性。”

另一个 “重要 ”缺陷（CVE-2024-45693）涉及请求来源验证绕过，可能导致账户接管。攻击者可以诱骗登录用户提交恶意请求，从而可能允许访问敏感数据和控制用户的资源。

此外，还修补了两个 “中等 ”严重性漏洞：

• CVE-2024-45461： 配额功能中未执行访问检查，可能允许未经授权修改配额配置。
• CVE-2024-45462：网络界面注销时会话失效不彻底，如果用户的浏览器会话仍处于活动状态，则可能导致未经授权的访问。

缓解措施

Apache CloudStack 项目强烈建议用户升级到 4.18.2.4 或 4.19.1.2 版本，以缓解这些漏洞。该公告还详细说明了如何扫描和验证模板和卷，以确保它们不会受到攻击。

“此外，还可以扫描所有用户上传或注册的 KVM 兼容模板和卷，并检查它们是否为平面文件，是否使用了任何额外或不必要的功能”，该公告称，“此外，还可以扫描所有用户上传或注册的 KVM 兼容模板和卷，并检查它们是否为平面文件，是否使用了任何额外或不必要的功能。”