Virtualiseerimishiiglane VMware on oma vRealize Log Insight tootes välja andnud nelja haavatavuse paigad, millest kahel on "kriitiline" raskusaste.
Kriitiline paar on CVE-2022-31703 ja CVE-2022-31704. Esimene neist on kataloogi läbimise haavatavus, teine aga katkine juurdepääsukontrolli haavatavus. Mõlemale määrati raskusaste 9.8 ja mõlemad võimaldavad ohus osalejatel juurdepääsu ressurssidele, mis muidu ei peaks olema ligipääsmatud.
"Autentimata pahatahtlik toimija võib sisestada faile mõjutatud seadme operatsioonisüsteemi, mis võib põhjustada koodi kaugkäitamist," selgitas VMware.
Tundlikud andmed on ohus
Ülejäänud kaks viga on CVE-2022-31710 ja CVE-2022-31711. Esimene neist on deserialiseerimise haavatavus, mis võimaldab ohus osalejatel andmeid rikkuda ja käivitada teenuse keelamise rünnakuid. Selle raskusastme hindeks on 7.5. Viimane on 5.3-punktiline teabe avalikustamise viga, mida saab kasutada tundlike andmete varastamiseks.
Vigade eest kaitsmiseks soovitatakse kasutajatel plaaster kohe peale panna ja lõpp-punktid kaasa võtta (avaneb uuel vahelehel) versioonile 8.10.2. Need, kes ei saa plaastrit praegu rakendada, saavad rakendada ka lahenduse, mille jaoks leiate juhised siin (avaneb uuel vahelehel) .
Vead avastas algselt Zero Day Initiative, kinnitas väljaanne. Programmi liikmed ütlesid, et siiani pole tõendeid vigade kuritarvitamise kohta looduses.
"Me ei ole teadlikud ühestki avalikust ärakasutamiskoodist ega aktiivsetest rünnakutest, mis seda haavatavust kasutaksid," ütles Trend Micro ZDI ohuteadlikkuse juht Dustin Childs. Register . "Kuigi meil pole praegu plaanis selle vea kontseptsiooni tõestust avaldada, jätkub meie VMware'i ja muude virtualiseerimistehnoloogiate uurimine."
vRealize Log Insight on logihaldustööriist. Kuigi see pole nii populaarne kui mõned VMware'i teised lahendused, muudab ettevõtte kohalolek nii avalikus kui ka erasektoris suure tõenäosusega kõik tema tooted ahvatlevaks sihtmärgiks küberkurjategijatele, kes otsivad turvaauke.
Via: Register (avaneb uuel vahelehel)
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba