Гігант віртуалізацыі VMware выпусціў патчы для чатырох уразлівасцяў у сваім прадукце vRealize Log Insight, дзве з якіх маюць «крытычны» рэйтынг сур'ёзнасці.
Крытычнай парай з'яўляюцца CVE-2022-31703 і CVE-2022-31704. Першае з'яўляецца ўразлівасцю праходжання каталога, а другое - уразлівасцю кантролю доступу. Абодва атрымалі ацэнку сур'ёзнасці 9.8, і абодва дазваляюць суб'ектам пагрозы атрымліваць доступ да рэсурсаў, якія ў адваротным выпадку павінны быць недаступныя.
«Неаўтэнтыфікаваны шкоднасны ўдзельнік можа ўводзіць файлы ў аперацыйную сістэму пашкоджанага прыбора, што можа прывесці да выдаленага выканання кода», - растлумачылі ў VMware.
Канфідэнцыяльныя даныя пад пагрозай
Астатнія два недахопы - CVE-2022-31710 і CVE-2022-31711. Першае з'яўляецца ўразлівасцю дэсерыялізацыі, якая дазваляе суб'ектам пагрозы падрабляць даныя і запускаць атакі адмовы ў абслугоўванні. Яму далі 7.5 бала цяжкасці. Апошняя з'яўляецца памылкай раскрыцця інфармацыі з балам 5.3, якую можна выкарыстоўваць для крадзяжу канфідэнцыйных даных.
Каб абараніцца ад недахопаў, карыстальнікам рэкамендуецца неадкладна ўжыць патч і прывесці свае канчатковыя кропкі (адкрываецца ў новай укладцы) да версіі 8.10.2. Тыя, хто не можа прымяніць патч прама зараз, таксама могуць прымяніць абыходны шлях, для якога можна знайсці інструкцыі тут (адкрываецца ў новай укладцы) .
Папулярны ў цяперашні час
Недахопы былі першапачаткова выяўленыя Zero Day Initiative, пацвердзіла выданне. Удзельнікі праграмы заявілі, што пакуль няма доказаў злоўжывання недахопамі ў дзікай прыродзе.
«Нам невядома ні пра які публічны эксплойт-код або актыўныя атакі з выкарыстаннем гэтай уразлівасці», — сказаў Дасцін Чайлдс, кіраўнік аддзела інфармаванасці аб пагрозах у ZDI Trend Micro. рэгістрацыя . «Хоць у цяперашні час у нас няма планаў па публікацыі доказаў канцэпцыі гэтай памылкі, нашы даследаванні VMware і іншых тэхналогій віртуалізацыі працягваюцца».
vRealize Log Insight - гэта інструмент кіравання часопісамі. Хоць гэта не так папулярна, як некаторыя іншыя рашэнні VMware, прысутнасць кампаніі як у дзяржаўным, так і ў прыватным сектарах, хутчэй за ўсё, робіць усе яе прадукты прывабнай мішэнню для кіберзлачынцаў, якія шукаюць уразлівасці.
Via: рэгістрацыя (адкрываецца ў новай укладцы)
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba