Гігант віртуалізацыі VMware выпусціў патчы для чатырох уразлівасцяў у сваім прадукце vRealize Log Insight, дзве з якіх маюць «крытычны» рэйтынг сур'ёзнасці.
Крытычнай парай з'яўляюцца CVE-2022-31703 і CVE-2022-31704. Першае з'яўляецца ўразлівасцю праходжання каталога, а другое - уразлівасцю кантролю доступу. Абодва атрымалі ацэнку сур'ёзнасці 9.8, і абодва дазваляюць суб'ектам пагрозы атрымліваць доступ да рэсурсаў, якія ў адваротным выпадку павінны быць недаступныя.
«Неаўтэнтыфікаваны шкоднасны ўдзельнік можа ўводзіць файлы ў аперацыйную сістэму пашкоджанага прыбора, што можа прывесці да выдаленага выканання кода», - растлумачылі ў VMware.
Канфідэнцыяльныя даныя пад пагрозай
Астатнія два недахопы - CVE-2022-31710 і CVE-2022-31711. Першае з'яўляецца ўразлівасцю дэсерыялізацыі, якая дазваляе суб'ектам пагрозы падрабляць даныя і запускаць атакі адмовы ў абслугоўванні. Яму далі 7.5 бала цяжкасці. Апошняя з'яўляецца памылкай раскрыцця інфармацыі з балам 5.3, якую можна выкарыстоўваць для крадзяжу канфідэнцыйных даных.
Каб абараніцца ад недахопаў, карыстальнікам рэкамендуецца неадкладна ўжыць патч і прывесці свае канчатковыя кропкі (адкрываецца ў новай укладцы) да версіі 8.10.2. Тыя, хто не можа прымяніць патч прама зараз, таксама могуць прымяніць абыходны шлях, для якога можна знайсці інструкцыі тут (адкрываецца ў новай укладцы) .
Папулярны ў цяперашні час
Недахопы былі першапачаткова выяўленыя Zero Day Initiative, пацвердзіла выданне. Удзельнікі праграмы заявілі, што пакуль няма доказаў злоўжывання недахопамі ў дзікай прыродзе.
«Нам невядома ні пра які публічны эксплойт-код або актыўныя атакі з выкарыстаннем гэтай уразлівасці», — сказаў Дасцін Чайлдс, кіраўнік аддзела інфармаванасці аб пагрозах у ZDI Trend Micro. рэгістрацыя . «Хоць у цяперашні час у нас няма планаў па публікацыі доказаў канцэпцыі гэтай памылкі, нашы даследаванні VMware і іншых тэхналогій віртуалізацыі працягваюцца».
vRealize Log Insight - гэта інструмент кіравання часопісамі. Хоць гэта не так папулярна, як некаторыя іншыя рашэнні VMware, прысутнасць кампаніі як у дзяржаўным, так і ў прыватным сектарах, хутчэй за ўсё, робіць усе яе прадукты прывабнай мішэнню для кіберзлачынцаў, якія шукаюць уразлівасці.
Via: рэгістрацыя (адкрываецца ў новай укладцы)