El software que a día de hoy es utilizado por muchos usuarios para gestionar su almacenamiento, virtualizar software, conexiones remotas y toda la capacidad de procesamiento en la nube se encuentra afectado por una vulnerabilidad.

Según ha informado Apache Sofrtware Foundation todas las versiones que existen a día de hoy estarían afectadas por este agujero de seguridad. De momento no hay ninguna actualización y el problema es que tampoco se espera que haya a corto plazo.

Con respecto a la vulnerabilidad, muy pocos detalles han sido los que se han dado al respecto pero se cree que se pueda permitir la ejecución de código de forma remota.

Para ser más concretos, los pocos detalles que se tienen con respecto a la vulnerabilidad no han sido dados por los propietarios del servicio ni por Apache, sino por parte de un investigador que descubrió como el sistema, mediante una configuración determinada, podía ejecutar llamadas aleatorias a la API de CloudStack. Esto suponía un grave riesgo: estas llamadas permitían el borrado tanto de las máquinas virtuales existentes como de datos que pudiesen haber sido guardados de ejecuciones en el entorno de procesamiento en la nube.

Posible solución

A pesar de que no se esperaba una solución a corto plazo, los miembros del proyecto CloudStack han hecho público un comunicado en el que aseguran que han estado llevando a cabo modificaciones y que parece ser que han conseguido encontrar el error y por lo tanto, también resolver el problema.

Por lo tanto, la versión que estaba siendo distribuida en la actualidad, la 4.0 para ser más exactos, ha sido retirada y se esperaba que próximamente salga una versión con el problema ya corregido.

FUENTE :http://www.redeszone.net/2012/10/10/cloudstack-tiene-una-vulnerabilidad-critica/