深信服上報OpenStack重大安全漏洞，官方已發通告！

對於開發者們來說,OpenStack並不陌生。作為全球主流開源的 雲計算 管理平台,它由NASA和Rackspace合作研發併發起,由全球開發者共同維護,是眾多組織和企業構建雲計算環境的首選,用戶基數巨大,適用場景廣泛。

近日,OpenStack官方發佈了一則漏洞公告,表示Murano服務組件存在安全隱患,提醒用戶盡快關閉或者刪除其中的Murano服務組件,否則可能導致敏感的服務賬戶信息泄露,進而威脅到整個系統的安全。

OpenStack官網公告

附官網公告鏈接:OSSN/OSSN-0093 – OpenStack

這一漏洞是怎樣運行的?

Murano是OpenStack中的一個組件,原本用於提供應用程序商店和部署功能,然而,MuranoPL擴展對YAQL語言的處理存在不安全環境處理的問題。更為嚴重的是,Murano項目目前已經停止維護,意味著沒有官方修復計劃來修補這個漏洞。

也就是說,任何熟悉OpenStack的攻擊者,都有可能利用這一漏洞,通過Murano上傳惡意組件,進而實現控製整個雲平台的目的。他們可以毫無阻攔地直擊目標對象的“要害”,竊取或篡改其敏感數據、導致服務中斷,甚至直接接管其平台管理權限,造成難以挽回的損失。

值得一提的是,該漏洞是 深信服 安全研究員lawliet和ZhiniangPeng在日常研究中發現的。深信服判斷其可能導致潛在的安全風險,便積極與監管機構和OpenStack官方取得聯繫,將漏洞信息提交給了官方。OpenStack官方對此表示高度重視,並在第一時間發佈了公告,提醒廣大用戶關注此問題。

OpenStack之所以能得到如此廣泛的應用,離不開全球開發者的共同維護與努力,其強大的安全系統一直是其核心競爭力之一。然而,此漏洞的發現,也讓我們看到了安全問題的複雜性和嚴峻性。深信服作為國內領先的雲和安全服務提供商,在此次事件中的表現,無疑彰顯了其深厚的技術實力。

關於深信服

深信服是一家專注於企業級 網絡安全 、雲計算、IT基礎設施及 物聯網 的產品和服務供應商。在如今的數字化時代,公司立誌於承載各行業用戶數字化轉型過程中的基石性工作,從而讓每個用戶的數字化更簡單、更安全。

基於多年的技術積累,深信服在國內率先推出了多個前沿安全產品及服務,並在去年首秀自研的安全大模型——安全GPT的技術應用。發佈至今,安全GPT已收穫100+體驗用戶。目前,深信服已得到海內外用戶的廣泛認可,全球已有超過10萬家用戶正在使用深信服的產品,業務覆蓋新加坡、馬來西亞、泰國、意大利等50餘個國家和地區。同時在國內多個大型企業和機構廣泛應用,覆蓋政府、金融、能源、運營商、醫療、教育、 互聯網 等行業領域。

最後,再次提醒各位OpenStack用戶,如果你仍在使用或運行Murano組件,請務必盡快關閉或刪除,以免遭受潛在的安全風險!也建議大家定期關注官方公告,加強系統安全防護,提高安全意識,以確保業務的穩定運行。

在這個充滿挑戰與機遇的時代,讓我們攜手共進,共同守護雲端的安全與穩定!