VMware устраняет четыре серьезные уязвимости vRealize
вычисления techradar.com Новости

VMware устраняет четыре серьезные уязвимости vRealize

26 января 2023 г.

Гигант виртуализации VMware выпустил исправления для четырех уязвимостей в своем продукте vRealize Log Insight, две из которых имеют «критическую» оценку серьезности.

Критическая пара — CVE-2022-31703 и CVE-2022. -31704. Первая уязвимость связана с обходом каталога, а вторая — с нарушением управления доступом. Оба получили оценку серьезности 9,8, и оба позволяют злоумышленникам получать доступ к ресурсам, которые в противном случае должны быть недоступны.

«Не прошедший проверку подлинности злоумышленник может внедрить файлы в операционную систему пострадавшего устройства, что может привести к удаленное выполнение кода», — пояснила VMware.

Конфиденциальные данные под угрозой

Две другие уязвимости — CVE-2022-31710 и CVE-2022-31711. Первая представляет собой уязвимость десериализации, которая позволяет злоумышленникам вмешиваться в данные и запускать атаки типа «отказ в обслуживании». Он получил 7,5 баллов серьезности. Последний представляет собой ошибку раскрытия информации с оценкой 5,3, которую можно использовать для кражи конфиденциальных данных.

Чтобы защититься от недостатков, пользователям рекомендуется немедленно установить исправление и принести свои конечные точки до версии 8.10.2. Те, кто не может применить исправление прямо сейчас, также могут применить обходной путь, инструкции для которого можно найти здесь.

Подробнее

> Известная уязвимость VMware используется для распространения программ-вымогателей

> Эти критические недостатки безопасности VMware должны быть исправлены сейчас

> Удаление вирусов и программ-вымогателей с помощью лучшее удаление вредоносных программ

Изначально уязвимости были обнаружены организацией Zero Day Initiative, подтверждает издание. Участники программы заявили, что пока нет никаких доказательств того, что недостатки используются в дикой природе.

"Нам не известно ни об общедоступном коде эксплойта, ни об активных атаках с использованием этой уязвимости", – сообщил The Register руководитель отдела осведомленности об угрозах ZDI Trend Micro Дастин Чайлдс. . «Хотя в настоящее время у нас нет планов публиковать доказательства концепции этой ошибки, наши исследования в области VMware и других технологий виртуализации продолжаются».

vRealize Log Insight — это инструмент управления журналами. Хотя он не так популярен, как некоторые другие решения VMware, присутствие компании как в государственном, так и в частном секторах, скорее всего, делает все ее продукты привлекательной мишенью для киберпреступников, ищущих уязвимости.

Recent Post

Categories

PREVIOUS ARTICLE
NEXT ARTICLE