форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"В Eucalyptus обнаружена уязвимость"	+/–
Сообщение от opennews on 31-Май-11, 13:12
В платформе для организации работы облачных окружений Eucalyptus (http://open.eucalyptus.com/) найдена уязвимость (http://open.eucalyptus.com/wiki/esa-02). Проблема присутствует реализации управляющего SOAP-интерфейса и связана с возможностью совершения атаки по перехвату и подстановки управляющих запросов, путем копирования сигнатуры пользователя из незашифрованных XML-блоков данных. В частности, перехватив SOAP-запросы между пользователем и облачной инфраструктурой, злоумышленник получает возможность отправки собственных команд от имени пользователя. Проблема исправлена в выпуске Eucalyptus 2.0.3 (http://open.eucalyptus.com/download). Уязвимость проявляется (http://www.ubuntu.com/usn/usn-1137-1/) для пакета Eucalyptus из состава Ubuntu Enterprise Cloud (UEC) 10.04 LTS, 10.10 и 11.04. URL: http://www.ubuntu.com/usn/usn-1137-1/ Новость: https://www.opennet.ru/opennews/art.shtml?num=30720
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

2. "В Eucalyptus обнаружена уязвимость"	+1 +/–
Сообщение от hummermania on 31-Май-11, 13:44
Эта атака возможна только в случае "хацкер посередине", и то апдейты уже выпустили, нормальнаый рабочий цикл открытого ПО. Кроме того ведь сам SOAP как и XML  и другие протоколы обмена с вебмордами защиты как бэ не дают вообще. HTTPS как минимум в помощь или ВПН шифротуннель.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "В Eucalyptus обнаружена уязвимость"	+/–
	Сообщение от umbr (ok) on 31-Май-11, 22:14
	Ну, для вящей уверенности, ID и сигнатуры всё-таки лучше шифровать.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема