Virtualizācijas gigants VMware ir izlaidis ielāpus četrām ievainojamībām savā vRealize Log Insight produktā, no kurām diviem ir “kritisks” smaguma vērtējums.
Kritiskais pāris ir CVE-2022-31703 un CVE-2022-31704. Pirmā ir direktoriju šķērsošanas ievainojamība, bet otrā ir bojāta piekļuves kontroles ievainojamība. Abiem tika piešķirts 9.8 nopietnības rādītājs, un abas ļauj apdraudējuma dalībniekiem piekļūt resursiem, kuriem citādi vajadzētu būt nepieejamiem.
"Neautentificēts, ļaunprātīgs dalībnieks var ievadīt failus ietekmētās ierīces operētājsistēmā, kas var izraisīt attālinātu koda izpildi," paskaidroja VMware.
Sensitīvi dati ir apdraudēti
Pārējie divi trūkumi ir CVE-2022-31710 un CVE-2022-31711. Pirmā ir deserializācijas ievainojamība, kas ļauj draudu dalībniekiem manipulēt ar datiem un sākt pakalpojumu atteikuma uzbrukumus. Tam ir piešķirts 7.5 nopietnības rādītājs. Pēdējā ir 5.3 punktu informācijas atklāšanas kļūda, ko var izmantot, lai nozagtu sensitīvus datus.
Lai aizsargātu pret trūkumiem, lietotājiem ieteicams nekavējoties uzlikt plāksteri un ņemt līdzi savus galapunktus (atveras jaunā cilnē) uz versiju 8.10.2. Tie, kuri šobrīd nevar lietot ielāpu, var izmantot arī risinājumu, par kuru var atrast norādījumus šeit (atveras jaunā cilnē) .
Trūkumi sākotnēji tika atklāti ar Nulles dienas iniciatīvu, apstiprināja publikācija. Programmas dalībnieki sacīja, ka līdz šim nekas neliecina, ka trūkumi tiktu ļaunprātīgi izmantoti savvaļā.
"Mēs neesam informēti par publisku ļaunprātīgu kodu vai aktīviem uzbrukumiem, izmantojot šo ievainojamību," sacīja Dastins Čailds, Trend Micro ZDI draudu izpratnes vadītājs. Reģistrs . "Lai gan mēs pašlaik neplānojam publicēt šīs kļūdas koncepcijas pierādījumus, mūsu pētījumi par VMware un citām virtualizācijas tehnoloģijām turpinās."
vRealize Log Insight ir žurnālu pārvaldības rīks. Lai gan tas nav tik populārs kā daži citi VMware risinājumi, uzņēmuma klātbūtne gan publiskajā, gan privātajā sektorā, visticamāk, padara visus tā produktus par pievilcīgu mērķi kibernoziedzniekiem, kuri meklē ievainojamības.
Izmantojot: Reģistrs (atveras jaunā cilnē)