对于开发者们来说，OpenStack并不陌生。

作为全球主流开源的云计算管理平台，它由NASA和Rackspace合作研发并发起，由全球开发者共同维护，是众多组织和企业构建云计算环境的首选，用户基数巨大，适用场景广泛。

近日，OpenStack官方发布了一则漏洞公告，表示Murano服务组件存在安全隐患，提醒用户尽快关闭或者删除其中的Murano服务组件，否则可能导致敏感的服务账户信息泄露，进而威胁到整个系统的安全。

OpenStack官网公告

附官网公告链接：OSSN/OSSN-0093 - OpenStack

Murano是OpenStack中的一个组件，原本用于提供应用程序商店和部署功能，然而，MuranoPL扩展对YAQL语言的处理存在不安全环境处理的问题。

更为严重的是，Murano项目目前已经停止维护，意味着没有官方修复计划来修补这个漏洞。

也就是说，任何熟悉OpenStack的攻击者，都有可能利用这一漏洞，通过Murano上传恶意组件，进而实现控制整个云平台的目的。他们可以毫无阻拦地直击目标对象的“要害”，窃取或篡改其敏感数据、导致服务中断，甚至直接接管其平台管理权限，造成难以挽回的损失。

值得一提的是，该漏洞是深信服安全研究员lawliet和ZhiniangPeng在日常研究中发现的。深信服判断其可能导致潜在的安全风险，便积极与监管机构和OpenStack官方取得联系，将漏洞信息提交给了官方。

OpenStack官方对此表示高度重视，并在第一时间发布了公告，提醒广大用户关注此问题。

OpenStack之所以能得到如此广泛的应用，离不开全球开发者的共同维护与努力，其强大的安全系统一直是其核心竞争力之一。

然而，此漏洞的发现，也让我们看到了安全问题的复杂性和严峻性。深信服作为国内领先的云和安全服务提供商，在此次事件中的表现，无疑彰显了其深厚的技术实力。

关于深信服

深信服是一家专注于企业级网络安全、云计算、IT基础设施及物联网的产品和服务供应商。在如今的数字化时代，公司立志于承载各行业用户数字化转型过程中的基石性工作，从而让每个用户的数字化更简单、更安全。

基于多年的技术积累，深信服在国内率先推出了多个前沿安全产品及服务，并在去年首秀自研的安全大模型——安全GPT的技术应用。发布至今，安全GPT已收获100+体验用户。

目前，深信服已得到海内外用户的广泛认可，全球已有超过10万家用户正在使用深信服的产品，业务覆盖新加坡、马来西亚、泰国、意大利等50余个国家和地区。同时在国内多个大型企业和机构广泛应用，覆盖政府、金融、能源、运营商、医疗、教育、互联网等行业领域。

最后，再次提醒各位OpenStack用户，如果你仍在使用或运行Murano组件，请务必尽快关闭或删除，以免遭受潜在的安全风险！也建议大家定期关注官方公告，加强系统安全防护，提高安全意识，以确保业务的稳定运行。

在这个充满挑战与机遇的时代，让我们携手共进，共同守护云端的安全与稳定！