Virtualizačný gigant VMware vydal záplaty pre štyri zraniteľnosti vo svojom produkte vRealize Log Insight, z ktorých dve majú hodnotenie „kritickej“ závažnosti.
Kritickým párom sú CVE-2022-31703 a CVE-2022-31704. V prvom prípade ide o chybu zabezpečenia prechodu cez adresár, zatiaľ čo v druhom prípade ide o chybu zabezpečenia nefunkčného riadenia prístupu. Obe dostali hodnotenie závažnosti 9.8 a obe umožňujú aktérom hrozby prístup k zdrojom, ktoré by inak mali byť nedostupné.
„Neoverený, škodlivý aktér môže vložiť súbory do operačného systému ovplyvneného zariadenia, čo môže viesť k vzdialenému spusteniu kódu,“ vysvetlil VMware.
Citlivé údaje sú ohrozené
Ďalšie dve chyby sú CVE-2022-31710 a CVE-2022-31711. Prvým z nich je deserializačná zraniteľnosť, ktorá umožňuje aktérom hrozieb manipulovať s údajmi a spúšťať útoky typu denial-of-service. Dostalo skóre závažnosti 7.5. Posledná chyba je 5.3-bodová chyba zverejnenia informácií, ktorú možno využiť na odcudzenie citlivých údajov.
Na ochranu pred chybami sa používateľom odporúča okamžite použiť opravu a priniesť svoje koncové body (otvorí sa na novej karte) do verzie 8.10.2. Tí, ktorí nemôžu použiť opravu práve teraz, môžu tiež použiť riešenie, pre ktoré nájdete pokyny tu (otvorí sa na novej karte) .
Chyby pôvodne objavila iniciatíva Zero Day Initiative, potvrdila publikácia. Členovia programu uviedli, že zatiaľ neexistujú dôkazy o zneužívaní týchto nedostatkov vo voľnej prírode.
„Nie sme si vedomí žiadneho verejného zneužívacieho kódu alebo aktívnych útokov využívajúcich túto zraniteľnosť,“ povedal Dustin Childs, vedúci informovanosti o hrozbách v ZDI spoločnosti Trend Micro. Register . „Aj keď momentálne nemáme v pláne zverejniť dôkaz o koncepcii tejto chyby, náš výskum VMware a iných virtualizačných technológií pokračuje.“
vRealize Log Insight je nástroj na správu protokolov. Hoci to nie je také populárne ako niektoré iné riešenia od VMware, prítomnosť spoločnosti vo verejnom aj súkromnom sektore s najväčšou pravdepodobnosťou robí zo všetkých jej produktov atraktívny cieľ pre kyberzločincov, ktorí hľadajú zraniteľné miesta.
cez: Register (otvorí sa na novej karte)
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba