漏洞信息详情
Apache CloudStack 本地信息泄露漏洞
- CNNVD编号:CNNVD-201301-219
- 危害等级: 中危
- CVE编号: CVE-2012-5616
- 漏洞类型: 信任管理
- 发布时间: 2013-01-15
- 威胁类型: 本地
- 更新时间: 2013-01-25
- 厂 商: citrix
- 漏洞来源: Ahmad Emneina
漏洞简介
CloudStack是美国阿帕奇(Apache)软件基金会的一套开源的云计算软件。该软件可用于部署、管理、配置公共和私有云(IaaS)。
Apache CloudStack 4.0.0-incubating和Citrix CloudPlatform (formerly Citrix CloudStack) 3.0.6之前版本中存在漏洞,该漏洞源于log4j.conf日志文件中存储敏感信息。本地攻击者利用该漏洞获得(1)被createSSHKeyPair API记录的SSH私钥,(2)被AddHost API记录的已添加的主机密码,或被(3)DeployVM或(4)ResetPasswordForVM API所记录的已添加的VM密码。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://support.citrix.com/article/CTX136163
参考网址
来源: XF
名称: callofduty-ssl-spoofing(81116)
链接:http://xforce.iss.net/xforce/xfdb/81116
来源: SECTRACK
名称: 1027978
链接:http://www.securitytracker.com/id?1027978
来源: BID
名称: 57259
链接:http://www.securityfocus.com/bid/57259
来源: BID
名称: 57225
链接:http://www.securityfocus.com/bid/57225
来源: support.citrix.com
链接:http://support.citrix.com/article/CTX136163
来源: SECUNIA
名称: 51827
链接:http://secunia.com/advisories/51827
来源: SECUNIA
名称: 51821
链接:http://secunia.com/advisories/51821
来源: SECUNIA
名称: 51366
链接:http://secunia.com/advisories/51366
来源: FULLDISC
名称: 20130110 CVE-2012-5616: Apache CloudStack information disclosure vulnerability
链接:http://seclists.org/fulldisclosure/2013/Jan/65
来源: OSVDB
名称: 89147
链接:http://osvdb.org/89147
来源: OSVDB
名称: 89146
链接:http://osvdb.org/89146
来源: OSVDB
名称: 89070
链接:http://osvdb.org/89070
来源: MLIST
名称: [incubator-cloudstack-users] 20130110 CVE-2012-5616: Apache CloudStack information disclosure vulnerability
链接:http://mail-archives.apache.org/mod_mbox/incubator-cloudstack-users/201301.mbox/%[email protected]%3E
受影响实体
- Citrix Cloudplatform:3.0.5
补丁
暂无
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论