VMware phát hành các bản vá bảo mật mới ảnh hưởng đến nhiều sản phẩm (Có 1 Lỗi Do Người Việt Đóng Góp – Trần Việt Quang)

Hôm thứ Tư, VMware đã gửi các bản cập nhật bảo mật để giải quyết các lỗ hổng trong nhiều sản phẩm có khả năng bị hacker khai thác để chiếm quyền kiểm soát các hệ thống bị ảnh hưởng.

Sáu điểm yếu bảo mật (từ CVE-2021-22022 đến CVE-2021-22027, điểm CVSS: 4.4 – 8.6) ảnh hưởng đến VMware vRealize Operations (trước phiên bản 8.5.0), VMware Cloud Foundation (phiên bản 3.x và 4.x ) và vRealize Suite Lifecycle Manager (phiên bản 8.x), như được liệt kê bên dưới –

  • CVE-2021-22022 (điểm CVSS: 4,4) – Lỗ hổng đọc tệp tùy ý trong vRealize Operations Manager API, dẫn đến tiết lộ thông tin
  • CVE-2021-22023 (điểm CVSS: 6,6) – Lỗ hổng tham chiếu đối tượng trực tiếp không an toàn trong vRealize Operations Manager API, cho phép kẻ tấn công có quyền truy cập quản trị để thay đổi thông tin của người dùng khác và chiếm quyền kiểm soát tài khoản
  • CVE-2021-22024 (Điểm CVSS: 7,5) – Lỗ hổng đọc tệp nhật ký tùy tiện trong vRealize Operations Manager API, dẫn đến tiết lộ thông tin nhạy cảm
  • CVE-2021-22025 (Điểm CVSS: 8,6) – Lỗ hổng kiểm soát truy cập bị hỏng trong API vRealize Operations Manager, cho phép một tác nhân độc hại chưa được xác thực thêm các nút mới vào cụm vROps hiện có
  • CVE-2021-22026 và CVE-2021-22027 (điểm CVSS: 7,5) – Lỗ hổng bảo mật yêu cầu phía máy chủ trong vRealize Operations Manager API, dẫn đến tiết lộ thông tin

Người có công báo cáo các sai sót là Egor Dimitrenko của Positive Technologies (CVE-2021-22022 và CVE-2021-22023) và MoyunSec V-Lab (từ CVE-2021-22024 đến CVE-2021-22027).

VMware cũng đã phát hành các bản vá để khắc phục lỗ hổng cross-site scripting (XSS) ảnh hưởng đến VMware vRealize Log Insight và VMware Cloud Foundation, bắt nguồn từ trường hợp xác thực đầu vào của người dùng không đúng, cho phép kẻ thù có đặc quyền của người dùng đưa các tải trọng độc hại qua Log Insight UI được thực thi khi nạn nhân truy cập vào liên kết trang tổng quan được chia sẻ.

Lỗ hổng, được gán mã định danh CVE-2021-22021 được xếp hạng 6,5 về mức độ nghiêm trọng trên hệ thống tính điểm CVSS. Marcin Kot của Prevenity và Trần Việt Quang của Vantage Point Security đã được ghi nhận vì đã phát hiện và báo cáo lỗ hổng một cách độc lập.

Các bản vá cũng đến một tuần sau khi VMware vá lỗi từ chối dịch vụ trong bảng điều khiển VMware Workspace ONE UEM ( CVE-2021-22029 , điểm CVSS: 5,3) mà một tác nhân có quyền truy cập vào “/ API / system / administrator / session “có thể lạm dụng để làm cho API không khả dụng do giới hạn tốc độ không phù hợp. THN

Trả lời

Please log in using one of these methods to post your comment:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất /  Thay đổi )

Google photo

Bạn đang bình luận bằng tài khoản Google Đăng xuất /  Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Đăng xuất /  Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất /  Thay đổi )

Connecting to %s