• Vulnerabilidade Crítica no Sistema Open Source Eucalyptus

    Publicado em 30-05-2011 20:00
    0 Comentários Comentários
    Pesquisadores da Ruhr-University Bochum descobriram uma vulnerabilidade crítica no Eucalyptus System, uma implementação open source API da nuvem do Amazon EC2. Um atacante pode, com o acesso ao tráfego de rede, interceptar comandos SOAP Eucalyptus e querer modificá-los ou emitir os seus próprios comandos arbitrários. Para isso, o atacante só precisa copiar a assinatura de um dos pacotes XML enviado pelo Eucalyptus para o usuário.

    Como o Eucalyptus não valida corretamente as solicitações SOAP, o invasor pode usar a cópia de seus próprios comandos enviados para a interface SOAP e tê-los executado como o usuário autenticado. Todas as versões, incluindo a 2.0.2 estão vulneráveis; uma versão corrigida, 2.0.3, está disponível para download. Baseado no Ubuntu's Eucalyptus, Ubuntu Enterprise Cloud (UEC) também está vulnerável; atualizações para o Ubuntu LTS 10.04, 10.10 e 11.04 já estão disponíveis nos repositórios da Canonical. Eucalyptus faz notar que as alterações feitas para fechar as falhas podem levar ao não funcionamento de algumas ferramentas já existentes, como o sistema irá interpretá-los como um ataque de repetição se emitir comandos muito rapidamente.


    Saiba Mais:

    [1] Eucalyptus: http://open.eucalyptus.com/downloads
    + Enviar Comentário