Eine kritische Lücke haben Forscher der Ruhr-Universität Bochum in Eucalyptus, einer Open-Source-Implementierung von Amazons-EC2-Schnittstelle, entdeckt. Wenn er sich im gleichen Netz wie ein angemeldeter Nutzer befindet, kann ein Angreifer beliebige SOAP-Befehle in der Eucalyptus-Cloud ausführen. Hierzu muss er einmalig die Signatur aus einem der XML-Pakete mitschneiden, das der Nutzer während der Steuerung an die SOAP-Schnittstelle von Eucalyptus schickt. Danach kann der Angreifer die Signatur beliebig oft und lange nutzen, um eigene XML-Pakete mit beliebigen Befehlen im Kontext des Nutzers auszuführen.

Alle Versionen bis einschließlich 2.0.2 sind verwundbar. Eine fehlerbereinigtes Update in der Version 2.0.3 steht zum Download bereit. Auch die auf Eucalyptus basierende Ubuntu Enterprise Cloud (UEC) ist verwundbar. Die Updates für Ubuntu 10.04 LTS, 10.10 und 11.04 sind bereits verfügbar.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE