A VMware arra szólította fel ügyfeleit, hogy frissítsék a VMware vCenter szervereket egy olyan kritikus hiba ellen, amely távoli kódvégrehajtáshoz (RCE) vezethet, és 9.8-as CVSS súlyossági pontszámot rendeltek hozzá.
A vCenter Server hibája, amelyet a CVE-2023-34048 alatt követtek nyomon, lehetővé teheti a hálózati hozzáféréssel rendelkező támadó számára, hogy határokon túli írást indítson el. VMware tanácsadás magyarázta. A „vCenter Server szoftverhez való szoftver határon túli írási sebezhetőséget tartalmaz a DCERPC protokoll megvalósítása során” – tette hozzá a gyártó.
A vCenter Server platform a vSphere-telepítések kezelésére szolgál hibrid felhőkörnyezetekben.
John Gallagher, a Viakoo Labs alelnöke közleményében „komolynak” jellemezte a hibát, mivel egyszerre veszélyes, és hatással van a VMware vCenter szerverekre, amelyeket széles körben használnak számos szervezetben és iparágban.
„A 9.8-as súlyossági pontszám oka az, hogy tönkreteszi a titkosság, integritás és elérhetőség teljes CIA Triádját” – magyarázta Gallgher. "A CVE sikeres kihasználása teljes hozzáférést biztosít a környezethez, és lehetővé teszi a távoli kódfuttatást a további kiaknázáshoz."
A súlyosság másik biztos jele az VMware Mayuresh Dani, a Qualys biztonsági kutatási menedzsere kifejtette közleményében azt a szokatlan lépést, hogy javításokat kínál a régi verziókhoz.
„Az a tény, hogy a VMware javításokat adott ki a biztonsági rés által érintett élettartam végi (EOL) verziókhoz, arról árulkodik, hogy ez mennyire kritikus, mivel az EOL szoftvereket ritkán javítják” – tette hozzá Dani.
A figyelmeztetés szerint javításokat adnak ki a vCenter Server 6.7U3, 6.5U3 és VCF 3.x, valamint a vCenter Server 8.0U1 verziókhoz.
Második javítás a VMware Cloud Foundation számára
A VMware további hibáról számolt be a VMware Cloud Foundation-ben, de ehhez a hibához, amelyet a CVE-2023-34056 alatt követtek nyomon, kevésbé sürgős, 4.3-as CVSS-pontszámot kapott. A biztonsági rés lehetővé teheti, hogy illetéktelen felhasználók hozzáférjenek az adatokhoz – magyarázta a figyelmeztetés.
Mindkét hibáról felelősségteljesen számoltak be a kutatók – tette hozzá a VMware a tanácsában, de mivel a szervezetek rohannak a javításra, elkerülhetetlen „sebezhetőség ablaka” lesz a fenyegetés szereplői számára, hogy kihasználják a javítatlan rendszereket – tette hozzá Gallagher.
„A vCenter Servert használó szervezeteknek gondoskodniuk kell arról, hogy aktuális leltárral rendelkezzenek a használatáról, és tervük legyen a javításra” – tanácsolta Gallagher. „Ebben az esetben a mérséklés közvetlenül korlátozottnak tűnik, de a hálózati hozzáférés-szabályozás és a felügyelet elkaphatja az oldalirányú mozgást, ha egy fenyegetett szereplő ezt használja, hogy megvegye a lábát.”
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/vulnerabilities-threats/vmware-issues-alarming-security-advisory
- :van
- :is
- $ UP
- 7
- 8
- 9
- a
- képesség
- hozzáférés
- át
- szereplők
- hozzáadott
- További
- Előny
- tanácsos
- tanácsadó
- érintett
- ellen
- riasztás
- lehetővé
- an
- és a
- Megjelenik
- VANNAK
- AS
- kijelölt
- At
- elérhetőség
- BE
- mert
- óta
- mindkét
- Bogár
- de
- by
- Fogás
- jellemzett
- cia
- felhő
- kód
- teljes
- titoktartási
- tartalmaz
- ellenőrzés
- tudott
- kritikai
- Jelenlegi
- Ügyfelek
- cve
- Veszélyes
- dátum
- közvetlenül
- lehetővé teszi
- végén
- biztosítására
- Egész
- Környezet
- környezetek
- végrehajtás
- magyarázható
- Exploit
- kizsákmányolás
- tény
- hibája
- hibái
- A
- Alapítvány
- további
- Nyereség
- ad
- Legyen
- tekintettel
- Hogyan
- azonban
- HTML
- HTTPS
- hibrid
- Hatások
- végrehajtás
- in
- ipar
- elkerülhetetlen
- sértetlenség
- leltár
- Kiadott
- kérdések
- IT
- ITS
- jpg
- Labs
- vezet
- kevesebb
- élet
- Korlátozott
- fontos
- menedzser
- kezelése
- esetleg
- enyhítés
- ellenőrzés
- mozgalom
- hálózat
- of
- felajánlás
- Régi
- egyszer
- szervezetek
- Tapasz
- Patches
- terv
- emelvény
- Plató
- Platón adatintelligencia
- PlatoData
- potenciálisan
- elnök
- protokoll
- ok
- felszabaduló
- távoli
- Számolt
- kutatás
- kutatók
- rohanás
- s
- Mondott
- pontszám
- ágazatok
- biztonság
- ritkán
- súlyos
- szerver
- Szerverek
- kellene
- <p></p>
- óta
- szoftver
- beszél
- nyilatkozat
- Lépés
- sikeres
- biztos
- Systems
- Vesz
- bevétel
- hogy
- A
- Ott.
- ők
- ezt
- fenyegetés
- fenyegetés szereplői
- nak nek
- kiváltó
- jogtalan
- alatt
- Frissítések
- sürgős
- Használat
- használt
- használó
- használ
- segítségével
- fajta
- eladó
- verzió
- vice
- Alelnök
- Tényleges
- vmware
- sebezhetőség
- volt
- JÓL
- voltak
- ami
- széles körben
- lesz
- ablak
- val vel
- ír
- X
- zephyrnet