A virtualizációs óriás, a VMware négy sebezhetőségre adott ki javításokat vRealize Log Insight termékében, amelyek közül kettő „kritikus” súlyossági besorolást kapott.
A kritikus pár a CVE-2022-31703 és a CVE-2022-31704. Az előbbi egy címtárbejárási sebezhetőség, míg az utóbbi egy meghibásodott hozzáférés-vezérlési sebezhetőség. Mindkettő 9.8-as súlyossági pontszámot kapott, és mindkettő lehetővé teszi a fenyegetés szereplői számára, hogy hozzáférjenek olyan erőforrásokhoz, amelyek egyébként elérhetetlenek lennének.
„Egy hitelesítetlen, rosszindulatú szereplő fájlokat fecskendezhet be az érintett készülék operációs rendszerébe, ami távoli kódfuttatást eredményezhet” – magyarázta a VMware.
Érzékeny adatok veszélyben
A másik két hiba a CVE-2022-31710 és a CVE-2022-31711. Az előbbi egy deserializációs sebezhetőség, amely lehetővé teszi a fenyegetés szereplői számára, hogy manipulálják az adatokat, és szolgáltatásmegtagadási támadásokat indítsanak. 7.5-ös súlyossági pontszámot kapott. Ez utóbbi egy 5.3-as pontozású információfeltárási hiba, amely kihasználható érzékeny adatok ellopására.
A hibák elleni védelem érdekében a felhasználóknak azt tanácsoljuk, hogy azonnal alkalmazzák a javítást, és hozzák magukkal a végpontjaikat (új lapon nyílik meg) a 8.10.2 verzióra. Azok, akik most nem tudják telepíteni a javítást, alkalmazhatják a kerülő megoldást is, amelyhez az utasításokat megtalálja itt (új lapon nyílik meg) .
A hibákat eredetileg a Zero Day Initiative fedezte fel – erősítette meg a kiadvány. A program tagjai elmondták, hogy egyelőre nincs bizonyíték arra, hogy a hibákat vadon visszaélték volna.
„Nincs tudomásunk arról, hogy nyilvános kihasználó kódok vagy aktív támadások használták volna ezt a sebezhetőséget” – mondta Dustin Childs, a Trend Micro ZDI fenyegetésekért felelős vezetője. A regisztráció . „Bár jelenleg nem tervezzük, hogy bizonyítékot publikáljunk ennek a hibának az elméletére, a VMware-rel és más virtualizációs technológiákkal kapcsolatos kutatásaink folytatódnak.”
A vRealize Log Insight egy naplókezelő eszköz. Bár nem olyan népszerű, mint a VMware néhány más megoldása, a vállalat jelenléte a köz- és a magánszektorban nagy valószínűséggel minden termékét vonzó célponttá teszi a sebezhetőséget kereső számítógépes bűnözők számára.
Keresztül: A regisztráció (új lapon nyílik meg)
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba