Portál AbcLinuxu, 8. května 2025 04:44

Eucalyptus cloud postižen kritickou bezpečnostní chybou

V Eucalyptus cloud systému, open-source implementaci Amazon EC2 cloud API, byla objevena kritická bezpečnostní chyba. Útočníkovi stačí zkopírovat podpis v XML packetech k tomu, aby mohl měnit nebo vydávat vlastní SOAP příkazy. Postiženy jsou všechny verze do 2.0.3. Chybou je ovlivněn i Ubuntu Enterprise Cloud.

1.6.2011 15:44 | Migi | Bezpečnostní upozornění


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

Vložit další komentář

1.6.2011 16:53 Baf
Rozbalit Rozbalit vše Re: Eucalyptus cloud postižen kritickou bezpečnostní chybou
Odpovědět | Sbalit | Link | Blokovat | Admin
Co to je XML packet?
1.6.2011 17:43 JeanVEGA | skóre: 17 | Poprad
Rozbalit Rozbalit vše Re: Eucalyptus cloud postižen kritickou bezpečnostní chybou
Odpovědět | Sbalit | Link | Blokovat | Admin
Originálna správa hovorí:

This vulnerability allows an unauthenticated remote attacker who has access to the network traffic between authenticated user and a Eucalyptus installation, to modify intercepted SOAP requests and submit arbitrary commands to the Eucalyptus SOAP interface in the context of the authenticated user.

Ide teda len o nepresný preklad. Žiaden XML paket sa nekoná, jednoducho ak má niekto možnosť odchytiť komunikáciu, je možné upraviť SOAP request a podvrhnúť tak volania príkazov.
ČVUT FEL, sometimes hell, ČVUT FIT, almost always sh*t :)

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.