Гігант віртуалізації VMware випустив патчі для чотирьох уразливостей у своєму продукті vRealize Log Insight, дві з яких мають «критичний» рівень серйозності.
Критичною парою є CVE-2022-31703 і CVE-2022-31704. Перша є вразливістю проходження каталогу, тоді як остання є вразливістю несправного контролю доступу. Обидва отримали оцінку серйозності 9.8, і обидва дозволяють суб’єктам загрози отримувати доступ до ресурсів, які інакше були б недоступні.
«Неавтентифікований зловмисник може вставити файли в операційну систему зараженого пристрою, що може призвести до віддаленого виконання коду», — пояснили у VMware.
Конфіденційні дані під загрозою
Дві інші вади — CVE-2022-31710 і CVE-2022-31711. Перша — це вразливість десеріалізації, яка дозволяє суб’єктам загрози втручатися в дані та запускати атаки на відмову в обслуговуванні. Отримано 7.5 бала тяжкості. Остання є помилкою розкриття інформації з оцінкою 5.3, яку можна використовувати для викрадення конфіденційних даних.
Щоб захиститися від недоліків, користувачам рекомендується негайно застосувати патч і принести свої кінцеві точки (відкривається в новій вкладці) до версії 8.10.2. Ті, хто не може застосувати патч прямо зараз, також можуть застосувати обхідний шлях, для якого можна знайти інструкції тут (відкривається в новій вкладці) .
Недоліки спочатку були виявлені Zero Day Initiative, підтверджує видання. Учасники програми заявили, що наразі немає доказів зловживання недоліками в дикій природі.
«Нам не відомо про будь-який загальнодоступний експлойт-код або активні атаки з використанням цієї вразливості», — сказав Дастін Чайлдс, керівник відділу поінформованості про загрози в ZDI Trend Micro. Реєстр . «Хоча ми не плануємо публікувати докази концепції цієї помилки, наші дослідження щодо VMware та інших технологій віртуалізації тривають».
vRealize Log Insight — це інструмент керування журналами. Хоча це не так популярно, як деякі інші рішення VMware, присутність компанії як у державному, так і в приватному секторах, швидше за все, робить усі її продукти привабливою мішенню для кіберзлочинців, які шукають уразливості.
Вулиця: Реєстр (відкривається в новій вкладці)
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba