VMware, müşterilerini, tehdit aktörlerinin uzaktan kod yürütme saldırıları başlatmak için kullanabilecekleri birden çok üründeki kritik güvenlik açıklarını hemen düzeltmeleri konusunda uyardı.
VMware, “Bu kritik güvenlik açığı, VMSA-2021-0011’deki talimatlara göre derhal yamalanmalı veya hafifletilmelidir. Bu güvenlik açığının sonuçları ciddidir,” uyardı Çarşamba günü.
“Tüm ortamlar farklıdır, risklere karşı farklı toleranslara sahiptir ve riski azaltmak için farklı güvenlik kontrollerine ve derinlemesine savunmaya sahiptir, bu nedenle müşterilerin nasıl ilerleyecekleri konusunda kendi kararlarını vermeleri gerekir. Ancak, güvenlik açığının ciddiyeti göz önüne alındığında, güçlü bir şekilde çalışıyoruz. acil eylem tavsiye ederim.”
Beş kritik güvenlik açığı için yamalar
Bugün yamalanan kritik güvenlik kusurları listesi, sunucu tarafı şablon yerleştirme uzaktan kod yürütme güvenlik açığı (CVE-2022-22954), iki OAuth2 ACS kimlik doğrulama atlama güvenlik açığı (CVE-2022-22955, CVE-2022-22956) ve iki JDBC içerir. enjeksiyon uzaktan kod yürütme güvenlik açıkları (CVE-2022-22957, CVE-2022-22958).
VMware ayrıca Siteler Arası İstek Sahteciliği (CSRF) saldırıları (CVE-2022-22959), ayrıcalıkları yükseltme (CVE-2022-22960) ve yetkisiz bilgiye erişim elde etme (CVE- 2022-22961).
Bu güvenlik açıklarından etkilenen VMware ürünlerinin tam listesi şunları içerir:
- VMware Workspace ONE Erişimi (Erişim)
- VMware Kimlik Yöneticisi (vIDM)
- VMware vRealize Otomasyonu (vRA)
- VMware Bulut Vakfı
- vRealize Suite Yaşam Döngüsü Yöneticisi
Şirket, bu böceklerin daha önce vahşi doğada sömürüldüğüne dair hiçbir kanıt bulamadığını da sözlerine ekledi. bugünün güvenlik danışmanlığı yayınlandı.
VMware’in bilgi bankası web sitesi ayrıca sabit sürümlerin tam bir listesine ve düzeltme yükleyicilerine yönelik indirme bağlantılarına sahiptir.
Geçici çözüm de mevcuttur
VMware, cihazlarını hemen yamalayamayanlar için geçici bir çözüm olarak geçici çözümler de sağlar. Burada ayrıntılı adımlar yöneticilerin, etkilenen sanal cihazlarda VMware tarafından sağlanan Python tabanlı bir komut dosyası çalıştırmasını gerektirir.
Ancak şirket, güvenlik açıklarını tamamen ortadan kaldırmanın tek yolunun yamaları uygulamak olduğunu söylüyor.
VMware, “Geçici çözümler uygun olsa da, güvenlik açıklarını ortadan kaldırmaz ve yama uygulamasının kaldırmayacağı ek karmaşıklıklar getirebilir,” diye ekledi.
“Geçici çözümü yamalama veya kullanma kararı size ait olsa da, VMware bu sorunu çözmenin en basit ve en güvenilir yolu olarak yama uygulamasını her zaman şiddetle tavsiye eder.”
Bugün yamalanan kritik güvenlik açıklarıyla ilgili ek soruları ve yanıtları içeren bir belge mevcut burada.
Pazartesi günü, VMware güvenlik güncellemelerini de yayınladı kritik Spring4Shell RCE kusurunu ele almak için VM’ler için VMware Tanzu Application Service, VMware Tanzu Operations Manager ve VMware Tanzu Kubernetes Grid Integrated Edition (TKGI) /