Virtualizacijos milžinė „VMware“ išleido keturių „vRealize Log Insight“ produkto spragų pataisas, iš kurių dvi turi „kritinį“ sunkumo laipsnį.
Kritinė pora yra CVE-2022-31703 ir CVE-2022-31704. Pirmasis yra katalogų perėjimo pažeidžiamumas, o antrasis yra sugadintas prieigos kontrolės pažeidžiamumas. Abiem buvo suteiktas 9.8 sunkumo balas ir abu leidžia grėsmės veikėjams pasiekti išteklius, kurie kitu atveju turėtų būti neprieinami.
„Neautentifikuotas, kenkėjiškas veikėjas gali įterpti failus į paveikto įrenginio operacinę sistemą, o tai gali sukelti nuotolinio kodo vykdymą“, – paaiškino VMware.
Pavojus jautriems duomenims
Kiti du trūkumai yra CVE-2022-31710 ir CVE-2022-31711. Pirmoji yra deserializacijos pažeidžiamumas, leidžiantis grėsmės dalyviams sugadinti duomenis ir pradėti paslaugų atsisakymo atakas. Jai buvo suteiktas 7.5 sunkumo balas. Pastaroji yra 5.3 balo informacijos atskleidimo klaida, kurią galima panaudoti norint pavogti neskelbtinus duomenis.
Norint apsisaugoti nuo trūkumų, naudotojams patariama nedelsiant užklijuoti pleistrą ir atsinešti galutinius taškus (atsidaro naujame skirtuke) iki 8.10.2 versijos. Tie, kurie šiuo metu negali pritaikyti pataisos, taip pat gali pritaikyti sprendimą, kurio instrukcijas rasite čia (atsidaro naujame skirtuke) .
Trūkumai iš pradžių buvo aptikti nulinės dienos iniciatyva, patvirtino leidinys. Programos nariai teigė, kad kol kas nėra įrodymų, kad trūkumai būtų piktnaudžiaujami laukinėje gamtoje.
„Nežinome apie jokį viešą išnaudojimo kodą ar aktyvias atakas naudojant šį pažeidžiamumą“, – sakė Dustinas Childsas, „Trend Micro“ ZDI grėsmių suvokimo vadovas. Registras . „Nors šiuo metu neplanuojame paskelbti šios klaidos koncepcijos įrodymo, mūsų VMware ir kitų virtualizacijos technologijų tyrimai tęsiami.
vRealize Log Insight yra žurnalų valdymo įrankis. Nors jis nėra toks populiarus kaip kai kurie kiti VMware sprendimai, dėl bendrovės buvimo tiek viešajame, tiek privačiame sektoriuose visi jos produktai greičiausiai tampa patraukliu taikiniu kibernetiniams nusikaltėliams, ieškantiems pažeidžiamumų.
"Via: Registras (atsidaro naujame skirtuke)