云安全日报200907：开源云计算平台 Cloud Foundry发现重要漏洞，

Cloud Foundry是美国Cloud Foundry基金会的一套开源的平台即服务（PaaS）云计算平台，谷歌、IBM、微软、Pivotal、SAP、SUSE、Swisscom等提供支持。Cloud Foundry支持多种框架、语言、运行时环境、云平台及应用服务，使开发人员能够在几秒钟内进行应用程序的部署和扩展，无需担心任何基础架构的问题。不过根据安全研究发现，Cloud Foundry CAPI 和Cloud Foundry Routing存在安全漏洞，以下是漏洞详情：

漏洞详情

1.CVE-2020-5420： Gorouter容易通过无效的HTTP响应受到DoS攻击

严重程度：高

来源：

https://www.cloudfoundry.org/blog/cve-2020-5420/

DoS攻击是指故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务或资源访问，使目标系统服务系统停止响应甚至崩溃，而在此攻击中并不包括侵入目标服务器或目标网络设备。

Cloud Foundry Routing是Cloud Foundry其中的一个路由组件。Cloud Foundry Routing（Gorouter）的0.206.0之前的版本允许恶意开发人员使用“ cf push”访问权限，通过推送返回使Gorouters(Gorouter 是一个轻便的HTTP API 路由库)崩溃的特制HTTP响应的应用程序，从而导致对CF群集的拒绝服务(Dos)。

受影响产品和版本

Routing 0.206.0之前的所有版本

CF Deployment 13.15.0之前的所有版本

解决方案

Routing：将所有版本升级到0.206.0或更高版本

CF Deployment：将所有版本升级到13.15.0或更高版本

2.CVE-2020-5418：Cloud Controller允许没有角色的用户列出Droplet

严重程度：低

来源：

https://www.cloudfoundry.org/blog/cve-2020-5418/

Cloud Controller是Cloud Foundry其中的一款云控制器.

该漏洞是源于网络系统或产品中缺少身份验证、访问控制、权限管理等安全措施。允许经过身份验证的攻击者仅拥有cloud_controller就可以读取所有空间中的所有droplets。

受影响产品和版本

CAPI 1.98.0之前的所有版本

CF Deployment 13.17.0 之前所有版本

解决方案

CAPI 将所有版本升级到1.98.0或更高版本

CF Deployment 将所有版本升级到13.17.0或更高版本

查看更多漏洞信息 以及升级请访问官网：

https://www.cloudfoundry.org/foundryblog/security-advisory/