ভার্চুয়ালাইজেশন জায়ান্ট ভিএমওয়্যার তার vRealize লগ ইনসাইট পণ্যে চারটি দুর্বলতার জন্য প্যাচ প্রকাশ করেছে, যার মধ্যে দুটির একটি "সমালোচনামূলক" তীব্রতা রেটিং রয়েছে৷
সমালোচনামূলক জোড়া হল CVE-2022-31703 এবং CVE-2022-31704। পূর্ববর্তীটি একটি ডিরেক্টরি ট্রাভার্সাল দুর্বলতা, যখন পরবর্তীটি একটি ভাঙা অ্যাক্সেস নিয়ন্ত্রণ দুর্বলতা। উভয়কেই একটি 9.8 তীব্রতা স্কোর দেওয়া হয়েছিল, এবং উভয়ই হুমকি অভিনেতাদের সংস্থানগুলি অ্যাক্সেস করার অনুমতি দেয় যা অন্যথায় অ্যাক্সেসযোগ্য হওয়া উচিত নয়।
"একটি অননুমোদিত, দূষিত অভিনেতা একটি প্রভাবিত যন্ত্রের অপারেটিং সিস্টেমে ফাইলগুলি ইনজেকশন করতে পারে যার ফলে দূরবর্তী কোড কার্যকর হতে পারে," VMware ব্যাখ্যা করেছে।
ঝুঁকিপূর্ণ সংবেদনশীল তথ্য
অন্য দুটি ত্রুটি হল CVE-2022-31710 এবং CVE-2022-31711। পূর্ববর্তীটি একটি ডিসিরিয়ালাইজেশন দুর্বলতা যা হুমকি অভিনেতাদের ডেটার সাথে টেম্পার করতে এবং পরিষেবা অস্বীকার করার আক্রমণ শুরু করতে দেয়। এটি একটি 7.5 তীব্রতা স্কোর দেওয়া হয়েছে। পরেরটি একটি 5.3-স্কোর তথ্য প্রকাশের বাগ যা সংবেদনশীল ডেটা চুরি করতে ব্যবহার করা যেতে পারে।
ত্রুটিগুলি থেকে রক্ষা করার জন্য, ব্যবহারকারীদের প্যাচটি অবিলম্বে প্রয়োগ করার এবং তাদের শেষ পয়েন্টগুলি নিয়ে আসার পরামর্শ দেওয়া হয়৷ (নতুন ট্যাবে খোলে) সংস্করণ 8.10.2 থেকে। যারা এই মুহূর্তে প্যাচ প্রয়োগ করতে পারে না তারাও কর্মক্ষেত্র প্রয়োগ করতে পারে, যার জন্য নির্দেশাবলী পাওয়া যাবে এখানে (নতুন ট্যাবে খোলে) .
ত্রুটিগুলি মূলত জিরো ডে ইনিশিয়েটিভ দ্বারা আবিষ্কৃত হয়েছিল, প্রকাশনা নিশ্চিত করেছে। কর্মসূচির সদস্যরা জানান, এখন পর্যন্ত বন্যপ্রাণীর অপব্যবহারের কোনো ত্রুটির প্রমাণ মেলেনি।
"আমরা এই দুর্বলতা ব্যবহার করে কোনো পাবলিক এক্সপ্লয়েট কোড বা সক্রিয় আক্রমণ সম্পর্কে সচেতন নই," ট্রেন্ড মাইক্রোর জেডডিআই-এর হুমকি সচেতনতার প্রধান ডাস্টিন চাইল্ডস বলেছেন নিবন্ধনকর্মী . "যদিও আমাদের এই বাগটির ধারণার প্রমাণ প্রকাশ করার কোনো বর্তমান পরিকল্পনা নেই, VMware এবং অন্যান্য ভার্চুয়ালাইজেশন প্রযুক্তিতে আমাদের গবেষণা অব্যাহত রয়েছে।"
vRealize লগ ইনসাইট হল একটি লগ ম্যানেজমেন্ট টুল। যদিও এটি ভিএমওয়্যারের অন্যান্য সমাধানগুলির মতো জনপ্রিয় নয়, তবে সরকারী এবং বেসরকারী উভয় ক্ষেত্রেই কোম্পানির উপস্থিতি সম্ভবত এর সমস্ত পণ্যকে সাইবার অপরাধীদের জন্য একটি আকর্ষণীয় লক্ষ্য করে তোলে যারা দুর্বলতার সন্ধান করছে।
এর মাধ্যমে: নিবন্ধনকর্মী (নতুন ট্যাবে খোলে)