摘要:Cloud Foundry是美国Cloud Foundry基金会的一套开源的平台即服务(PaaS)云计算平台,谷歌、IBM、微软、Pivotal、SAP、SUSE、Swisscom等提供支持。Cloud Foundry支持多种框架、语
Cloud Foundry是美国Cloud Foundry基金会的一套开源的平台即服务(PaaS)云计算平台,谷歌、IBM、微软、Pivotal、SAP、SUSE、Swisscom等提供支持。Cloud Foundry支持多种框架、语言、运行时环境、云平台及应用服务,使开发人员能够在几秒钟内进行应用程序的部署和扩展,无需担心任何基础架构的问题。不过根据安全研究发现,Cloud Foundry CAPI 和Cloud Foundry Routing存在安全漏洞,以下是漏洞详情:
漏洞详情
1.CVE-2020-5420: Gorouter容易通过无效的HTTP响应受到DoS攻击
严重程度:高
来源:
https://www.cloudfoundry.org/blog/cve-2020-5420/
DoS攻击是指故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务或资源访问,使目标系统服务系统停止响应甚至崩溃,而在此攻击中并不包括侵入目标服务器或目标网络设备。
Cloud Foundry Routing是Cloud Foundry其中的一个路由组件。Cloud Foundry Routing(Gorouter)的0.206.0之前的版本允许恶意开发人员使用“ cf push”访问权限,通过推送返回使Gorouters(Gorouter 是一个轻便的HTTP API 路由库)崩溃的特制HTTP响应的应用程序,从而导致对CF群集的拒绝服务(Dos)。
受影响产品和版本
Routing 0.206.0之前的所有版本
CF Deployment 13.15.0之前的所有版本
解决方案
Routing:将所有版本升级到0.206.0或更高版本
CF Deployment:将所有版本升级到13.15.0或更高版本
2.CVE-2020-5418:Cloud Controller允许没有角色的用户列出Droplet
严重程度:低
来源:
https://www.cloudfoundry.org/blog/cve-2020-5418/
Cloud Controller是Cloud Foundry其中的一款云控制器.
该漏洞是源于网络系统或产品中缺少身份验证、访问控制、权限管理等安全措施。允许经过身份验证的攻击者仅拥有cloud_controller就可以读取所有空间中的所有droplets。
受影响产品和版本
CAPI 1.98.0之前的所有版本
CF Deployment 13.17.0 之前所有版本
解决方案
CAPI 将所有版本升级到1.98.0或更高版本
CF Deployment 将所有版本升级到13.17.0或更高版本
查看更多漏洞信息 以及升级请访问官网:
https://www.cloudfoundry.org/foundryblog/security-advisory/
相关文章推荐
智能手机建站的优点是什么?网站页面布局有哪些关键点? 2022-01-10
2022年中国云计算面临的问题及发展前景预测分析2021-12-28
绿色智能基础设施连接可持续未来-IDCC2021万国数据第一代Smart DC发布会议程揭晓2021-12-27
阿里云:早期未意识到Apache log4j2漏洞情况的严重性 将强化漏洞管理2021-12-27
云计算开发:Python3-replace()方法详解2021-12-27