News-Meldung vom 30.05.2011 17:50
Forscher der Ruhr-Universität Bochum haben eine kritische Lücke in Eucalyptus, einer Open-Source-Implementierung von Amazons-EC2-Schnittstelle, entdeckt. Ein Angreifer kann beliebige SOAP-Befehle in der Eucalyptus-Cloud ausführen, wenn er sich im gleichen Netz wie ein angemeldeter Nutzer befindet. Hierzu muss der Angreifer einmalig die Signatur aus einem der XML-Pakete mitschneiden, das der Nutzer während der Steuerung an die SOAP-Schnittstelle von Eucalyptus schickt. Anschließend kann der Angreifer die Signatur beliebig oft und lange nutzen, um eigene XML-Pakete mit beliebigen Befehlen im Kontext des bestohlenen Nutzers auszuführen.
Verwundbar sind alle Versionen bis einschließlich 2.0.2. Eine fehlerbereinigte Version 2.0.3 steht zum Download bereit. Auch die auf Eucalyptus basierende Ubuntu Enterprise Cloud (UEC) ist verwundbar. Updates für Ubuntu 10.04 LTS, 10.10 und 11.04 sind bereits verfügbar.
(rei)
English Version: Critical vulnerability in open source Eucalyptus clouds
Version zum Drucken | Per E-Mail versenden
Permalink: http://heise.de/-1252489
Themen-Forum Serversicherheit
Mehr zum Thema Cloud Computing Sicherheitslücke
Am 15. Januar 2012 jährte sich der Versand einer inzwischen berühmten E-Mail zum zehnten Mal: Bill Gates machte die Themen Sicherheit, Datenschutz und Verlässlichkeit von IT-Systemen zum obersten Ziel. 
Bei einem Hackerangriff auf die FTP-Server des Groupware-Anbieters haben Unbekannte eine Backdoor in einige Installationspakete eingebaut. Der Angriff blieb vier Monate unbemerkt. 
