Trang chủ » TheHackerNews » Lỗi nghiêm trọng chưa được khắc phục của VMware ảnh hưởng đến nhiều sản phẩm của công ty
TheHackerNews

Lỗi nghiêm trọng chưa được khắc phục của VMware ảnh hưởng đến nhiều sản phẩm của công ty

Tháng Mười Một 24, 2020
4 Views

VMware đã phát hành các giải pháp thay thế tạm thời để giải quyết một lỗ hổng nghiêm trọng trong các sản phẩm của mình có thể bị kẻ tấn công lợi dụng để chiếm quyền kiểm soát hệ thống bị ảnh hưởng.

“Một tác nhân độc hại có quyền truy cập mạng vào trình cấu hình quản trị trên cổng 8443 và mật khẩu hợp lệ cho tài khoản quản trị viên cấu hình có thể thực hiện các lệnh với các đặc quyền không hạn chế trên hệ điều hành bên dưới”, công ty phần mềm và dịch vụ ảo hóa lưu ý trong tham mưu.

Được theo dõi là CVE-2020-4006, tiêm lệnh lỗ hổng bảo mật có điểm CVSS là 9,1 / 10 và ảnh hưởng đến VMware Workspace One Access, Access Connector, Identity Manager và Identity Manager Connector.

Mặc dù công ty cho biết các bản vá lỗi cho lỗ hổng “sắp ra mắt”, nhưng nó không chỉ định ngày chính xác khi nào nó dự kiến ​​sẽ được phát hành. Không rõ liệu lỗ hổng có đang bị tấn công hay không.

Danh sách đầy đủ các sản phẩm bị ảnh hưởng như sau:

  • VMware Workspace One Access (phiên bản 20.01 và 20.10 cho Linux và Windows)
  • VMware Workspace One Access Connector (phiên bản 20.10, 20.01.0.0 và 20.01.0.1 dành cho Windows)
  • VMware Identity Manager (phiên bản 3.3.1, 3.3.2 và 3.3.3 cho Linux và Windows)
  • VMware Identity Manager Connector (phiên bản 3.3.1, 3.3.2 cho Linux và 3.3.1, 3.3.2, 3.3.3 cho Windows)
  • VMware Cloud Foundation (phiên bản 4.x cho Linux và Windows)
  • vRealize Suite Lifecycle Manager (phiên bản 8.x cho Linux và Windows)

VMware cho biết cách giải quyết này chỉ áp dụng cho dịch vụ trình cấu hình quản trị được lưu trữ trên cổng 8443.

“Các thay đổi cài đặt do trình cấu hình quản lý sẽ không thể thực hiện được khi có giải pháp thay thế”, công ty nói. “Nếu cần thay đổi, vui lòng hoàn nguyên giải pháp theo hướng dẫn bên dưới, thực hiện các thay đổi bắt buộc và vô hiệu hóa lại cho đến khi có các bản vá lỗi.”

Lời khuyên được đưa ra vài ngày sau khi VMware giải quyết lỗ hổng nghiêm trọng trong các siêu giám sát ESXi, Workstation và Fusion có thể bị khai thác bởi tác nhân độc hại có đặc quyền quản trị cục bộ trên máy ảo để thực thi mã và nâng cao đặc quyền của họ trên hệ thống bị ảnh hưởng (CVE-2020-4004 và CVE-2020-4005).

Lỗ hổng được phát hiện bởi Qihoo 360 Vulcan Team tại Cuộc thi tranh cúp Tianfu 2020 được tổ chức vào đầu tháng này tại Trung Quốc.

Content Protection by DMCA.com

Từ khoá:

Các bài liên quan
© Từ 2020 | GenVerge
Trang thông tin cho tín đồ công nghệ Việt Nam
Chính sách Bảo Mật & quyền Riêng Tư
Mạng lưới
GenVerge | Trang thông tin dành cho tín đồ công nghệ Việt Nam
Logo
Đăng ký
Liên hệ Admin để kích hoạt tài khoản Cộng Tác Viên
Quên mật khẩu