漏洞预警|Apache CloudStack SAML 插件存在 XXE 漏洞

已于 2022-07-22 15:49:19 修改
阅读量187 收藏
点赞数
分类专栏: 漏洞预警 文章标签: apache
于 2022-07-20 15:39:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LJQClqjc/article/details/125893604
版权

棱镜七彩安全预警

近日网上有关于开源项目Apache CloudStack SAML 插件 XXE 漏洞 ,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。

项目介绍

Apache CloudStack 是一款开源软件,用于部署和管理虚拟机的大型网络,是一个高可用性、高可伸缩性的基础设施即服务(IaaS)云计算平台。

项目主页

Apache CloudStack: Open Source Cloud Computing

代码托管地址

https://github.com/apache/cloudstack

漏洞情况

在 Apache CloudStack 中默认情况下是不启用 SAML 2.0 插件,攻击者需要启用此插件才能利用该漏洞。因为 SAML 2.0 是基于 XML 实现的,XML 解析标准库容易受到 XXE 注入攻击,所以 Apache CloudStack 受到 XXE 的攻击。

攻击者可利用该漏洞读取任意文件,获取内网敏感信息。

CVE编号

 CVE-2022-35741

受影响的版本

[4.5.0, 4.16.1.1)

修复方案

升级 Apache CloudStack 到 4.16.1.1 或更高版本。

链接地址:

https://lists.apache.org/thread/hwhxvtwp1d5dsm156bsf1cnyvtmrfv3f

http://www.openwall.com/lists/oss-security/2022/07/18/2

棱镜七彩
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cloudstackApache Cloudstack
02-03
Apache CloudStack Apache CloudStack是开源软件,旨在作为高可用性,高度可扩展的基础架构即服务(IaaS)云计算平台来部署和管理大型虚拟机网络。 许多服务提供商使用CloudStack提供公共云服务,许多公司使用...
packer-cloudstack:支持 Apache Cloudstack 的 Packer 插件
06-09
Packer-cloudstack 这会向添加一个插件以与。 它支持将操作系统安装引导到空块设备以及扩展现有模板。 安装插件 首先,您应该已经安装了并将其添加到您的 PATH 中。 Docker方式 如果你有一个正在运行的 Docker,你...
推荐:Apache CloudStack — 云基础设施管理的利器
最新发布
gitblog_00060的博客
06-10 513
推荐:Apache CloudStack — 云基础设施管理的利器 项目地址:https://gitcode.com/apachecloudstack/cloudstack 1、项目介绍 Apache CloudStack 是一款开源的云基础设施服务平台,旨在帮助组织部署和管理大规模的虚拟机网络,提供高度可用且可扩展的 Infrastructure as a Service(IaaS)解决方案。其...
Centos7.9云计算CloudStack4.15手把手安装部署指南 (1)
机核动力的博客
04-18 1716
提起IaaS平台在开源领域当然首推就是OpenStack,它包含了几乎所有的基础构件服务,从网络,存储,镜像服务,权限管理等等,但同时它也是非常复杂的,对于入门是有非常大的门槛的。相对来说CloudStack就显得相对入手要容易一些。Apache CloudStack 徽标比较Apache CloudStack 最初是在 2008 年作为一个名为 VMOps 的项目开始的。Apache CloudStack 有一个可插拔的模型。
OpenStack与CloudStack
lsw_dabaojian的博客
06-26 5799
总的来说,不论是构建公有云还是私有云或者混合云,如果处在前期的摸爬滚打阶段,可能cloudstack更适合一些,因为cloudstack产品相对更加成熟,部署起来更简单、快速,能让我们更快速的学习云计算IaaS层的基础公共的知识及积累经验。如果已经具备云计算相关的基础经验,想做更具规模化及定制化的云,OpenStack可能更适合。当然不管选择哪一种工具做定制化,团队开发能力、经济效益都是要考虑进去的。当然,有雄厚实力及雄心壮志的团队,也可以借鉴这些开源软件的架构,尝试自研。............
CloudStack 云计算平台框架
agurt80004的专栏
03-29 593
前言 CloudStack 和OpenStack 一样都是IaaS层 开源框架,可以管理XenServer、ESXI、KVM、OVM等主流虚拟机,相对OpenStack比较简单、稳定; 二、Cloud Stack架构 Zone:相当于现实中的1个数据中心,它是CloudStack中最大的一个单元 Pod(机柜):1个Zone包含N个Pod Pod(集群):1个...
CVE-2017-12629:Apache Solr XXE&&RCE
qq_61553520的博客
05-13 928
pache Solr 是一个开源的搜索服务器。Solr 使用 Java 语言开发,主要基于 HTTP 和 Apache Lucene 实现。原理大致是文档通过Http利用XML加到一个搜索集合中。查询该集合也是通过 http收到一个XML/JSON响应来实现。此次7.1.0之前版本总共爆出两个漏洞:XML实体扩展漏洞XXE)和远程命令执行漏洞(RCE)。漏洞影响版本Apache Solr before 7.1 with Apache Lucene before 7.1。
Apache CloudStack Cloud Computing
02-10
Apache CloudStack Cloud Computing Leverage the power of CloudStack and learn to extend the CloudStack environment Navin Sabharwal, Ravi Shankar First published: May 2013 Apache CloudStack is an open...
Apache CloudStack 4.0 + KVM 安装手册
12-20
Apache CloudStack 4.0 + KVM 安装手册 Apache CloudStack 4.0 + KVM 安装手册 Apache CloudStack 4.0 + KVM 安装手册
cloudstack功能介绍
09-30
cloudstack功能介绍
安装部署CloudStack 4.0企业私有云平台
11-16
CloudStack是一个开源的具有高可用性及扩展性的云计算平台。 提到开源的云计算平台,相信大家首先想到的可能是OpenStack,目前国内的几家云计算平台如阿里云、盛大云以及新浪SAE貌似都基于OpenStack做了二次开发。 但使用过CloudStack之后,你会发现其实CloudStack更像是一个商业化过后的产品,有着非常好的用户界面,各个模块默认集成的很好,且安装与部署过程也相对容易一些。
Apache Jena XXE漏洞(CVE-2022-28890)
murphysec的博客
05-06 1195
CVE-2022-28890漏洞是由于4.5.0 版本之前的 jena-core 没有对 XML 外部实体引用做限制,攻击者可利用恶意的 xml 文件实现读取任意文件。该漏洞影响范围小,建议受影响用户尽快升级到 4.5.0 版本。 编号      CVE-2022-28890 标题 Apache Jena XXE漏洞 描述 Apache Jena 是一个免费的开源Java框架,用于构建语义Web和链接数据应用程序。在4.5.0版本之前的 Apache Jena 中,攻击者可以通过引用 X
Apache CloudStack 4.0.0版发布
11-08 108
Apache CloudStack 4.0.0-incubator正式发布 本周二(11/6), Apache CloudStack宣布4.0.0正式发布, 这是CloudStack捐献给社区后, 作为社区主导...
Apache2-XXE漏洞渗透
一纸荒芜的博客
07-04 4443
Apache2 Ubuntu Default Page XXE漏洞渗透
CloudStack+KVM环境搭建
热门推荐
祈晴小义
01-16 2万+
参考文档:http://docs.cloudstack.apache.org/projects/cloudstack-installation/en/4.11/qig.html 环境准备 要搭建一套CloudStack环境,我们至少得有一台虚拟机用来安装CloudStack的服务端,以及一台支持KVM虚拟化的计算节点。在实际生产中,计算节点一般是配置较高的物理服务器,但在实验环境,我们也可以使...
Apache CloudStack API
星星_月亮的光芒
04-21 786
Apache CloudStack API Documentation
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值