VMware novērš četras nopietnas vRealize ievainojamības

Virtualizācijas gigants VMware ir izlaidis ielāpus četrām ievainojamībām savā vRealize Log Insight produktā, no kurām diviem ir “kritisks” smaguma vērtējums.

Kritiskais pāris ir CVE-2022-31703 un CVE-2022-31704. Pirmā ir direktoriju šķērsošanas ievainojamība, bet otrā ir bojāta piekļuves kontroles ievainojamība. Abiem tika piešķirts 9.8 nopietnības rādītājs, un abas ļauj apdraudējuma dalībniekiem piekļūt resursiem, kuriem citādi vajadzētu būt nepieejamiem.

"Neautentificēts, ļaunprātīgs dalībnieks var ievadīt failus ietekmētās ierīces operētājsistēmā, kas var izraisīt attālinātu koda izpildi," paskaidroja VMware.

Sensitīvi dati ir apdraudēti

Pārējie divi trūkumi ir CVE-2022-31710 un CVE-2022-31711. Pirmā ir deserializācijas ievainojamība, kas ļauj draudu dalībniekiem manipulēt ar datiem un sākt pakalpojumu atteikuma uzbrukumus. Tam ir piešķirts 7.5 nopietnības rādītājs. Pēdējā ir 5.3 punktu informācijas atklāšanas kļūda, ko var izmantot, lai nozagtu sensitīvus datus.

Lai aizsargātu pret trūkumiem, lietotājiem ieteicams nekavējoties uzlikt plāksteri un ņemt līdzi savus galapunktus (atveras jaunā cilnē) uz versiju 8.10.2. Tie, kuri šobrīd nevar lietot ielāpu, var izmantot arī risinājumu, par kuru var atrast norādījumus šeit (atveras jaunā cilnē).

Trūkumi sākotnēji tika atklāti ar Nulles dienas iniciatīvu, apstiprināja publikācija. Programmas dalībnieki sacīja, ka līdz šim nekas neliecina, ka trūkumi tiktu ļaunprātīgi izmantoti savvaļā.

"Mēs neesam informēti par publisku ļaunprātīgu kodu vai aktīviem uzbrukumiem, izmantojot šo ievainojamību," sacīja Dastins Čailds, Trend Micro ZDI draudu izpratnes vadītājs. Reģistrs. "Lai gan mēs pašlaik neplānojam publicēt šīs kļūdas koncepcijas pierādījumus, mūsu pētījumi par VMware un citām virtualizācijas tehnoloģijām turpinās."

vRealize Log Insight ir žurnālu pārvaldības rīks. Lai gan tas nav tik populārs kā daži citi VMware risinājumi, uzņēmuma klātbūtne gan publiskajā, gan privātajā sektorā, visticamāk, padara visus tā produktus par pievilcīgu mērķi kibernoziedzniekiem, kuri meklē ievainojamības.

Izmantojot: Reģistrs (atveras jaunā cilnē)

avots

iepriekšējā Post

VMware novērš četras nopietnas vRealize ievainojamības

Obligāta programmatūra 2024. gadā

Populārākās kategorijas

Jaunākās atsauksmes

Samsung Galaxy Z Flip 5 Teaser Video, pirms Galaxy Unpacked Event, parāda jaunu eņģes dizainu, krāsu opcijas

Twitter ierobežo to DM skaitu, ko var nosūtīt nepārbaudīti lietotāji

Mans iecienītākais Android tālrunis spēj paveikt to, ko mans iPhone 14 Pro Max nespēj

ChatGPT Android ierīcēm tiks palaista nākamnedēļ, un jūs varat iepriekš reģistrēties jau tagad

Xiaomi Smart TV 32A, Smart TV 40A, Smart TV 43A ar Google TV, 20W skaļruņi, kas laisti tirgū Indijā: : Cena, specifikācijas

Šis ēdamais akumulators varētu nodrošināt diagnostikas un ilgtspējīgas enerģijas pasauli