Виртуализация гиганты VMware өзінің vRealize Log Insight өніміндегі төрт осалдыққа арналған патчтарды шығарды, олардың екеуі «сыни» ауырлық дәрежесіне ие.
Критикалық жұп CVE-2022-31703 және CVE-2022-31704. Біріншісі - каталогтарды өту осалдығы, ал екіншісі - қатынауды басқарудың бұзылған осалдығы. Екеуіне де 9.8 ауырлық ұпайы берілді және екеуі де қатер субъектілеріне басқа жағдайда қол жетімсіз болуы керек ресурстарға қол жеткізуге мүмкіндік береді.
«Түпнұсқалығы расталмаған, зиянды актер файлдарды әсер еткен құрылғының операциялық жүйесіне енгізе алады, бұл қашықтан кодтың орындалуына әкелуі мүмкін», - деп түсіндірді VMware.
Тәуекелдегі құпия деректер
Қалған екі кемшілік - CVE-2022-31710 және CVE-2022-31711. Біріншісі – қатер субъектілеріне деректерді бұрмалауға және қызмет көрсетуден бас тарту шабуылдарын бастауға мүмкіндік беретін сериядан шығару осалдығы. Оған 7.5 ауырлық ұпайы берілді. Соңғысы - құпия деректерді ұрлау үшін пайдаланылуы мүмкін 5.3 баллдық ақпаратты ашу қатесі.
Кемшіліктерден қорғау үшін пайдаланушыларға патчты дереу қолдану және соңғы нүктелерін келтіру ұсынылады (жаңа қойындыда ашылады) 8.10.2 нұсқасына. Дәл қазір патчты қолдана алмайтындар нұсқауларды табуға болатын уақытша шешімді де қолдана алады Мұнда (жаңа қойындыда ашылады) .
Кемшіліктерді бастапқыда Zero Day Initiative ашты, деп растады басылым. Бағдарлама мүшелерінің айтуынша, әзірге табиғатта кемшіліктерді теріс пайдалану туралы ешқандай дәлел жоқ.
«Біз бұл осалдықты пайдаланатын кез келген жалпы пайдалану коды немесе белсенді шабуылдар туралы білмейміз», - деді Дастин Чайлдс, Trend Micro ZDI қауіп-қатерден хабардар болу бөлімінің басшысы. Реестр . «Бізде бұл қате туралы тұжырымдаманың дәлелін жариялаудың қазіргі жоспарлары жоқ, бірақ VMware және басқа виртуалдандыру технологияларындағы зерттеулеріміз жалғасуда».
vRealize Log Insight журналды басқару құралы болып табылады. Бұл VMware-тің кейбір басқа шешімдері сияқты танымал болмаса да, компанияның мемлекеттік және жеке секторларда болуы оның барлық өнімдерін осалдықтарды іздейтін киберқылмыскерлер үшін тартымды нысанға айналдыруы мүмкін.
Via: Реестр (жаңа қойындыда ашылады)