Apache y Citrix alertan sobre una vulnerabilidad crítica en CloudStack

Apache CloudStack es un software de código abierto escrito en Java diseñado para implementar y administrar grandes redes de máquinas virtuales como una plataforma de cloud computing escalable y con alta disponibilidad. CloudStack actualmente soporta los más populares hipervisores como VMware, Oracle VM, KVM, XenServer y la plataforma Xen Cloud. En marzo de este año, Citrix anunció que abandonaba OpenStack en favor del sistema operativo de CloudStack.

Ahora la Fundación Apache y Citrix han advertido sobre una vulnerabilidad crítica que afecta a todas las versiones
de CloudStack anteriores al 7 de octubre, incluyendo la versión comercial de Citrix. El problema podría permitir la ejecución arbitraria de las llamadas al API de Cloudstack, que a su vez podría permitir por ejemplo a un atacante la supresión de todas las máquinas virtuales en un sistema.

De momento no se ha liberado ningún exploit para esta vulnerabilidad, aunque recomiendan desactivar el usuario de sistema y asignarle una clave aleatoria:

$ mysql -u cloud -p -h host-ip-address
mysql> update cloud.user set password=RAND() where id=1;
mysql> \q

De forma alternativa los usuarios pueden actualizar CloudStack mediante los últimos repositorios git.


Por último podemos ver el commit de John Kinsella para asegurarse de que el usuario del sistema tiene configurada la contraseña:
http://www.mail-archive.com/cloudstack-commits@incubator.apache.org/msg03695.html

Comentarios