USN-7677-1: cloud-init-Schwachstellen
USN-7677-1: cloud-init-Schwachstellen
Veröffentlichungsdatum: 28. Juli 2025
Überblick: Mehrere Sicherheitsprobleme wurden in cloud-init behoben.
Pakete
cloud-init - Initialisierungs- und Anpassungswerkzeug für Cloud-Instanzen
Details
Harry Sintonen entdeckte, dass der hotplugd-Socket in cloud-init weltweit
beschreibbar ist. Ein Angreifer könnte dieses Problem möglicherweise nutzen, um hotplug-hook
Befehle zu senden. (CVE-2024-11584)
Es wurde entdeckt, dass cloud-init Root-Zugriff auf eine festcodierte URL
mit einer lokalen IP-Adresse gewährte, wenn eine Nicht-x86-Plattform erkannt wurde. Ein Angreifer
könnte sich möglicherweise als OpenStack-Endpunkt ausgeben und Root-Konfigurationsdaten
Konfigurationsdaten bereitstellen. (CVE-2024-6174)
Anweisungen zum Update
Das Problem kann behoben werden, indem Sie Ihr System auf die folgenden Paketversionen aktualisieren:
Ubuntu Release Paket Version
- 24.04 edel: cloud-init - 25.1.4-0ubuntu0~24.04.1