The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В Eucalyptus обнаружена уязвимость

31.05.2011 12:56

В платформе для организации работы облачных окружений Eucalyptus найдена уязвимость. Проблема присутствует реализации управляющего SOAP-интерфейса и связана с возможностью совершения атаки по перехвату и подстановки управляющих запросов, путем копирования сигнатуры пользователя из незашифрованных XML-блоков данных. В частности, перехватив SOAP-запросы между пользователем и облачной инфраструктурой, злоумышленник получает возможность отправки собственных команд от имени пользователя.

Проблема исправлена в выпуске Eucalyptus 2.0.3. Уязвимость проявляется для пакета Eucalyptus из состава Ubuntu Enterprise Cloud (UEC) 10.04 LTS, 10.10 и 11.04.

  1. Главная ссылка к новости (http://www.ubuntu.com/usn/usn-...)
  2. OpenNews: Бывший руководитель MySQL AB возглавил компанию Eucalyptus Systems
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/30720-security
Ключевые слова: security, cloud, virtual, Eucalyptus
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (2) RSS
  • 2, hummermania (?), 13:44, 31/05/2011 [ответить]  
  • +1 +/
    Эта атака возможна только в случае "хацкер посередине", и то апдейты уже выпустили, нормальнаый рабочий цикл открытого ПО.
    Кроме того ведь сам SOAP как и XML  и другие протоколы обмена с вебмордами защиты как бэ не дают вообще. HTTPS как минимум в помощь или ВПН шифротуннель.
     
     
  • 3, umbr (ok), 22:14, 31/05/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, для вящей уверенности, ID и сигнатуры всё-таки лучше шифровать.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру