Гігант віртуалізації VMware випустив патчі для чотирьох уразливостей у своєму продукті vRealize Log Insight, дві з яких мають «критичний» рівень серйозності.
Критичною парою є CVE-2022-31703 і CVE-2022-31704. Перша є вразливістю проходження каталогу, тоді як остання є вразливістю несправного контролю доступу. Обидва отримали оцінку серйозності 9.8, і обидва дозволяють суб’єктам загрози отримувати доступ до ресурсів, які інакше були б недоступні.
«Неавтентифікований зловмисник може вставити файли в операційну систему зараженого пристрою, що може призвести до віддаленого виконання коду», — пояснили у VMware.
Конфіденційні дані під загрозою
Дві інші вади — CVE-2022-31710 і CVE-2022-31711. Перша — це вразливість десеріалізації, яка дозволяє суб’єктам загрози втручатися в дані та запускати атаки на відмову в обслуговуванні. Отримано 7.5 бала тяжкості. Остання є помилкою розкриття інформації з оцінкою 5.3, яку можна використовувати для викрадення конфіденційних даних.
Щоб захиститися від недоліків, користувачам рекомендується негайно застосувати патч і принести свої кінцеві точки (відкривається в новій вкладці) до версії 8.10.2. Ті, хто не може застосувати патч прямо зараз, також можуть застосувати обхідний шлях, для якого можна знайти інструкції тут (відкривається в новій вкладці) .
Недоліки спочатку були виявлені Zero Day Initiative, підтверджує видання. Учасники програми заявили, що наразі немає доказів зловживання недоліками в дикій природі.
«Нам не відомо про будь-який загальнодоступний експлойт-код або активні атаки з використанням цієї вразливості», — сказав Дастін Чайлдс, керівник відділу поінформованості про загрози в ZDI Trend Micro. Реєстр . «Хоча ми не плануємо публікувати докази концепції цієї помилки, наші дослідження щодо VMware та інших технологій віртуалізації тривають».
vRealize Log Insight — це інструмент керування журналами. Хоча це не так популярно, як деякі інші рішення VMware, присутність компанії як у державному, так і в приватному секторах, швидше за все, робить усі її продукти привабливою мішенню для кіберзлочинців, які шукають уразливості.
Вулиця: Реєстр (відкривається в новій вкладці)