वर्चुअलाइजेशन की दिग्गज कंपनी VMware ने अपने vRealize Log Insight उत्पाद में चार कमजोरियों के लिए पैच जारी किए हैं, जिनमें से दो की "गंभीर" गंभीरता रेटिंग है।
महत्वपूर्ण जोड़ी CVE-2022-31703 और CVE-2022-31704 हैं। पूर्व एक निर्देशिका ट्रैवर्सल भेद्यता है, जबकि बाद वाला एक टूटा हुआ अभिगम नियंत्रण भेद्यता है। दोनों को 9.8 गंभीरता स्कोर दिया गया था, और दोनों खतरे के अभिनेताओं को उन संसाधनों तक पहुंचने की अनुमति देते हैं जो अन्यथा दुर्गम होने चाहिए।
VMware ने समझाया, "एक अप्रमाणित, दुर्भावनापूर्ण अभिनेता एक प्रभावित उपकरण के ऑपरेटिंग सिस्टम में फ़ाइलों को इंजेक्ट कर सकता है, जिसके परिणामस्वरूप रिमोट कोड निष्पादन हो सकता है।"
संवेदनशील डेटा जोखिम में है
अन्य दो खामियां CVE-2022-31710 और CVE-2022-31711 हैं। पूर्व एक डिसेरिएलाइज़ेशन भेद्यता है जो खतरे के अभिनेताओं को डेटा के साथ छेड़छाड़ करने और इनकार-की-सेवा हमलों को लॉन्च करने की अनुमति देता है। इसे 7.5 गंभीरता स्कोर दिया गया है। उत्तरार्द्ध एक 5.3-स्कोर सूचना प्रकटीकरण बग है जिसका संवेदनशील डेटा चोरी करने के लिए लाभ उठाया जा सकता है।
खामियों से बचाने के लिए, उपयोगकर्ताओं को सलाह दी जाती है कि वे पैच को तुरंत लागू करें और अपने एंडपॉइंट्स लाएं (नए टैब में खुलता है) संस्करण 8.10.2 के लिए। जो लोग अभी पैच को लागू नहीं कर सकते, वे समाधान भी लागू कर सकते हैं, जिसके लिए निर्देश मिल सकते हैं यहाँ उत्पन्न करें (नए टैब में खुलता है) .
खामियों को मूल रूप से जीरो डे इनिशिएटिव द्वारा खोजा गया था, प्रकाशन ने पुष्टि की। कार्यक्रम के सदस्यों ने कहा कि अभी तक इस बात का कोई सबूत नहीं है कि जंगली में खामियों का दुरुपयोग किया जा रहा है।
ट्रेंड माइक्रो के जेडडीआई में खतरे की जागरूकता के प्रमुख डस्टिन चिल्ड्स ने कहा, "हम इस भेद्यता का उपयोग करके किसी भी सार्वजनिक शोषण कोड या सक्रिय हमलों से अवगत नहीं हैं।" रजिस्टर . "जबकि इस बग के लिए अवधारणा के प्रमाण को प्रकाशित करने की हमारी कोई वर्तमान योजना नहीं है, वीएमवेयर और अन्य वर्चुअलाइजेशन तकनीकों में हमारा शोध जारी है।"
vRealize लॉग इनसाइट एक लॉग प्रबंधन उपकरण है। हालांकि यह VMware के कुछ अन्य समाधानों की तरह लोकप्रिय नहीं है, लेकिन सार्वजनिक और निजी दोनों क्षेत्रों में कंपनी की मौजूदगी की सबसे अधिक संभावना है कि इसके सभी उत्पाद कमजोरियों की तलाश कर रहे साइबर अपराधियों के लिए एक आकर्षक लक्ष्य हैं।
के माध्यम से: रजिस्टर (नए टैब में खुलता है)