વર્ચ્યુઅલાઈઝેશન જાયન્ટ VMware એ તેના vRealize Log Insight પ્રોડક્ટમાં ચાર નબળાઈઓ માટે પેચ બહાર પાડ્યા છે, જેમાંથી બે "ક્રિટિકલ" ગંભીરતા રેટિંગ ધરાવે છે.
નિર્ણાયક જોડી CVE-2022-31703 અને CVE-2022-31704 છે. પહેલાની ડાયરેક્ટરી ટ્રાવર્સલ નબળાઈ છે, જ્યારે બાદમાં તૂટેલી એક્સેસ કંટ્રોલ નબળાઈ છે. બંનેને 9.8 ગંભીરતાનો સ્કોર આપવામાં આવ્યો હતો, અને બંને જોખમી કલાકારોને સંસાધનોને ઍક્સેસ કરવાની મંજૂરી આપે છે જે અન્યથા અપ્રાપ્ય હોવા જોઈએ.
"અપ્રમાણિત, દૂષિત અભિનેતા અસરગ્રસ્ત ઉપકરણની ઑપરેટિંગ સિસ્ટમમાં ફાઇલોને ઇન્જેક્ટ કરી શકે છે જે રિમોટ કોડ એક્ઝિક્યુશનમાં પરિણમી શકે છે," VMware સમજાવે છે.
જોખમમાં સંવેદનશીલ ડેટા
અન્ય બે ખામીઓ છે CVE-2022-31710 અને CVE-2022-31711. ભૂતપૂર્વ એ ડીસીરિયલાઈઝેશન નબળાઈ છે જે ધમકી આપનારા કલાકારોને ડેટા સાથે ચેડાં કરવાની અને સેવાના અસ્વીકારના હુમલાઓ શરૂ કરવાની મંજૂરી આપે છે. તેને 7.5 ગંભીરતા સ્કોર આપવામાં આવ્યો છે. બાદમાં એક 5.3-સ્કોર્ડ માહિતી ડિસ્ક્લોઝર બગ છે જેનો ઉપયોગ સંવેદનશીલ ડેટાની ચોરી કરવા માટે કરી શકાય છે.
ખામીઓ સામે રક્ષણ આપવા માટે, વપરાશકર્તાઓને તરત જ પેચ લાગુ કરવા અને તેમના અંતિમ બિંદુઓ લાવવાની સલાહ આપવામાં આવે છે (નવી ટેબમાં ખુલે છે) આવૃત્તિ 8.10.2 સુધી. જેઓ અત્યારે પેચ લાગુ કરી શકતા નથી તેઓ પણ વર્કઅરાઉન્ડ લાગુ કરી શકે છે, જેના માટે સૂચનાઓ મળી શકે છે અહીં (નવી ટેબમાં ખુલે છે) .
આ ભૂલો મૂળ ઝીરો ડે ઈનિશિએટિવ દ્વારા શોધવામાં આવી હતી, પ્રકાશન પુષ્ટિ કરે છે. કાર્યક્રમના સભ્યોએ જણાવ્યું હતું કે, અત્યાર સુધી જંગલમાં દુર્વ્યવહાર થતો હોવાના કોઈ પુરાવા નથી.
"અમે આ નબળાઈનો ઉપયોગ કરીને કોઈપણ જાહેર શોષણ કોડ અથવા સક્રિય હુમલાઓથી વાકેફ નથી," ડસ્ટિન ચાઈલ્ડ્સ, ટ્રેન્ડ માઇક્રોના ZDI ખાતે ધમકી જાગૃતિના વડાએ જણાવ્યું નોંધણી કરો . "જ્યારે અમારી પાસે આ બગ માટે ખ્યાલનો પુરાવો પ્રકાશિત કરવાની કોઈ વર્તમાન યોજના નથી, VMware અને અન્ય વર્ચ્યુઅલાઈઝેશન તકનીકોમાં અમારું સંશોધન ચાલુ છે."
vRealize Log Insight એ લોગ મેનેજમેન્ટ ટૂલ છે. જો કે તે VMware ના કેટલાક અન્ય ઉકેલો જેટલું લોકપ્રિય નથી, તેમ છતાં, જાહેર અને ખાનગી બંને ક્ષેત્રોમાં કંપનીની હાજરી મોટે ભાગે તેના તમામ ઉત્પાદનોને નબળાઈઓ શોધી રહેલા સાયબર અપરાધીઓ માટે આકર્ષક લક્ષ્ય બનાવે છે.
વાયા: નોંધણી કરો (નવી ટેબમાં ખુલે છે)