A virtualizációs óriás, a VMware négy sebezhetőségre adott ki javításokat vRealize Log Insight termékében, amelyek közül kettő „kritikus” súlyossági besorolást kapott.
A kritikus pár a CVE-2022-31703 és a CVE-2022-31704. Az előbbi egy címtárbejárási sebezhetőség, míg az utóbbi egy meghibásodott hozzáférés-vezérlési sebezhetőség. Mindkettő 9.8-as súlyossági pontszámot kapott, és mindkettő lehetővé teszi a fenyegetés szereplői számára, hogy hozzáférjenek olyan erőforrásokhoz, amelyek egyébként elérhetetlenek lennének.
„Egy hitelesítetlen, rosszindulatú szereplő fájlokat fecskendezhet be az érintett készülék operációs rendszerébe, ami távoli kódfuttatást eredményezhet” – magyarázta a VMware.
Érzékeny adatok veszélyben
A másik két hiba a CVE-2022-31710 és a CVE-2022-31711. Az előbbi egy deserializációs sebezhetőség, amely lehetővé teszi a fenyegetés szereplői számára, hogy manipulálják az adatokat, és szolgáltatásmegtagadási támadásokat indítsanak. 7.5-ös súlyossági pontszámot kapott. Ez utóbbi egy 5.3-as pontozású információfeltárási hiba, amely kihasználható érzékeny adatok ellopására.
A hibák elleni védelem érdekében a felhasználóknak azt tanácsoljuk, hogy azonnal alkalmazzák a javítást, és hozzák magukkal a végpontjaikat (új lapon nyílik meg) a 8.10.2 verzióra. Azok, akik most nem tudják telepíteni a javítást, alkalmazhatják a kerülő megoldást is, amelyhez az utasításokat megtalálja itt (új lapon nyílik meg) .
A hibákat eredetileg a Zero Day Initiative fedezte fel – erősítette meg a kiadvány. A program tagjai elmondták, hogy egyelőre nincs bizonyíték arra, hogy a hibákat vadon visszaélték volna.
„Nincs tudomásunk arról, hogy nyilvános kihasználó kódok vagy aktív támadások használták volna ezt a sebezhetőséget” – mondta Dustin Childs, a Trend Micro ZDI fenyegetésekért felelős vezetője. A regisztráció . „Bár jelenleg nem tervezzük, hogy bizonyítékot publikáljunk ennek a hibának az elméletére, a VMware-rel és más virtualizációs technológiákkal kapcsolatos kutatásaink folytatódnak.”
A vRealize Log Insight egy naplókezelő eszköz. Bár nem olyan népszerű, mint a VMware néhány más megoldása, a vállalat jelenléte a köz- és a magánszektorban nagy valószínűséggel minden termékét vonzó célponttá teszi a sebezhetőséget kereső számítógépes bűnözők számára.
Keresztül: A regisztráció (új lapon nyílik meg)