【安全资讯】Apache CloudStack发布KVM基础设施漏洞安全更新 - CVE-2024-50386

概要：

Apache CloudStack项目近日发布了重要的安全公告，针对KVM环境中的关键漏洞CVE-2024-50386进行了修复。该漏洞的CVSS评分为8.5，若不及时修补，可能导致恶意行为者利用模板下载来危害主机文件系统，严重威胁KVM基础设施的完整性和机密性。

主要内容：

此次漏洞影响CloudStack版本4.0.0至4.18.2.4和4.19.0.0至4.19.1.2，因其在模板下载时缺乏有效的验证检查。Apache CloudStack默认允许用户直接将模板注册到主存储中，这为攻击者提供了部署恶意实例的机会，从而访问和破坏主机文件系统。安全公告指出，能够注册模板的攻击者可以在KVM环境中部署恶意实例，导致数据丢失、服务拒绝和资源完整性破坏等风险。

漏洞的发现归功于安全研究员Kiran Chavala的负责任披露，使Apache能够主动修复该缺陷。Apache CloudStack强烈建议用户升级至新发布的版本4.18.2.5或4.19.1.3以修补该漏洞。此外，公告还提供了验证KVM兼容模板完整性的指导，建议管理员对用户注册的KVM模板进行严格扫描，确保其不包含可能被利用的多余功能。

对于使用旧版本的用户，公告建议跳过版本4.19.1.0，直接升级至4.19.1.3。虽然提供的命令可以帮助识别潜在风险，但公告也警告，主要存储的命令执行可能会出现误报和漏报，特别是在模板不断演变或合并的情况下。