ვირტუალიზაციის გიგანტმა VMware-მა გამოუშვა პატჩები ოთხი დაუცველობისთვის თავის vRealize Log Insight პროდუქტში, რომელთაგან ორს აქვს "კრიტიკული" სიმძიმის ნიშანი.
კრიტიკული წყვილია CVE-2022-31703 და CVE-2022-31704. პირველი არის დირექტორია გადაკვეთის დაუცველობა, ხოლო მეორე არის გატეხილი წვდომის კონტროლის დაუცველობა. ორივეს მიენიჭა 9.8 სიმძიმის ქულა და ორივე საშუალებას აძლევს საფრთხის აქტორებს წვდომა მიიღონ რესურსებზე, რომლებიც სხვაგვარად მიუწვდომელი უნდა ყოფილიყო.
„არაავთენტიფიცირებულ, მავნე მოქმედს შეუძლია ფაილების ინექცია დაზიანებული მოწყობილობის ოპერაციულ სისტემაში, რამაც შეიძლება გამოიწვიოს კოდის დისტანციური შესრულება“, განმარტა VMware.
მგრძნობიარე მონაცემები რისკის ქვეშ
დანარჩენი ორი ხარვეზი არის CVE-2022-31710 და CVE-2022-31711. პირველი არის დესერიალიზაციის დაუცველობა, რომელიც საფრთხის მოქმედ პირებს საშუალებას აძლევს, ხელი შეუშალონ მონაცემებს და განახორციელონ სერვისზე უარის თქმის შეტევები. მას მიენიჭა 7.5 სიმძიმის ქულა. ეს უკანასკნელი არის 5.3 ქულით ინფორმაციის გამჟღავნების შეცდომა, რომელიც შეიძლება გამოყენებულ იქნას მგრძნობიარე მონაცემების მოსაპარად.
ხარვეზებისგან თავის დასაცავად, მომხმარებლებს ურჩევენ, დაუყონებლივ გამოიყენონ პატჩი და მოიტანონ საბოლოო წერტილები (იხსნება ახალ ჩანართში) 8.10.2 ვერსიამდე. მათ, ვისაც ახლა არ შეუძლია პატჩის გამოყენება, ასევე შეუძლიათ გამოიყენონ გამოსავალი, რისთვისაც შეგიძლიათ იპოვოთ ინსტრუქციები აქ დაწკაპუნებით (იხსნება ახალ ჩანართში) .
ხარვეზები თავდაპირველად აღმოაჩინა Zero Day Initiative-მა, დაადასტურა გამოცემამ. პროგრამის წევრებმა განაცხადეს, რომ ჯერჯერობით არ არსებობს რაიმე მტკიცებულება ველურ ბუნებაში ბოროტად გამოყენების შესახებ.
”ჩვენ არ ვიცით რაიმე საჯარო ექსპლოიტის კოდის ან აქტიური თავდასხმების შესახებ ამ დაუცველობის გამოყენებით,” - განუცხადა Dustin Childs-მა, Trend Micro-ს ZDI-ის საფრთხეების ცნობიერების ხელმძღვანელმა. რეგისტრაცია . ”მიუხედავად იმისა, რომ ჩვენ არ გვაქვს ამჟამინდელი გეგმები გამოვაქვეყნოთ ამ შეცდომის კონცეფციის დამადასტურებელი საბუთი, ჩვენი კვლევა VMware-სა და ვირტუალიზაციის სხვა ტექნოლოგიებში გრძელდება.”
vRealize Log Insight არის ჟურნალის მართვის ინსტრუმენტი. მიუხედავად იმისა, რომ ეს არ არის ისეთი პოპულარული, როგორც VMware-ის ზოგიერთი სხვა გადაწყვეტა, კომპანიის ყოფნა როგორც საჯარო, ისე კერძო სექტორში, სავარაუდოდ, მის ყველა პროდუქტს მიმზიდველ სამიზნედ აქცევს კიბერკრიმინალებისთვის, რომლებიც ეძებენ დაუცველობას.
ქუჩა: რეგისტრაცია (იხსნება ახალ ჩანართში)