VMware, ESXI, İş İstasyonu, Fusion ve Bulut Vakfı'nı etkileyen eleştirel-şiddetli bir güvenlik açığını ve VREALIZE Network Insight'ı etkileyen eleştirel-vahşi komut enjeksiyon kusurunu ele almak için güvenlik güncellemelerini yayınladı.
VMware ESXI Yığın Yazı Güvenlik Açığı CVE-2022-31705 olarak izlenir ve 9.3 CVSS V3 Şiddet derecesi aldı.
Güvenlik Danışmanlığı, "Sanal bir makinede yerel idari ayrıcalıklara sahip kötü niyetli bir aktör, sanal makinenin ana bilgisayarda çalışan VMX işlemi olarak kodu yürütmek için bu sorunu kullanabilir."
"ESXI'da sömürü VMX sanal alanında yer alırken, iş istasyonu ve füzyonda bu, iş istasyonu veya füzyonun kurulduğu makinede kod yürütülmesine yol açabilir."
Güvenlik açığı aşağıdaki ürünleri etkiler:
ESXI 8.0 (ESXI 8.0a-20842819'da sabit) ESXI 7.0 (7.0U3I-20842708'de sabit) Fusion 12.x (12.2.5'te sabit) İş İstasyonu 16.x (16.2.5'te sabit) Bulut Foundation 4.x/3.x (KB90336'da sabit)
VMware Fusion 13.x ve iş istasyonu 17.x kusurdan etkilenmez.
CVE-2022-31705 USB 2.0 Denetleyicisi'nde (EHCI) olduğundan, güvenlik güncellemesini uygulayamayanlar için önerilen geçici çözüm, USB denetleyicisini örneklerinden kaldırmaktır.
VMware, Cloud Foundation Suite için de geçerli olan bir VMware ESXI Sanal Makinesinde geçici çözümün nasıl uygulanacağı hakkında adım adım talimatlar yayınladı.
VMware Workstation ve VMware Fusion için şu adımları izleyin:
Füzyon için:
İş istasyonu için:
Ayrı bir güvenlik bülteninde, VMware, VREALIZE Network Insight Sürümleri 6.2 ila 6.7'nin VRNI REST API'sinde komut enjeksiyonuna izin veren kritik bir ciddiyet (CVSS V3: 9.8) güvenlik açığı olan CVE-2022-31702 hakkında ayrıntılar verir.
Aynı güvenlik bildirimi, bir tehdit oyuncusunun sunucudan keyfi dosyaları okumasını sağlayabilecek daha az şiddetli (CVSS v3: 7.5) dizin geçiş kusuru olan CVE-2022-31703'ten bahsediyor. Bu kusur, yukarıda belirtilen aynı ürün sürümlerini etkiler.
VMware Vrealize Network Insight 6.8.0 bu güvenlik açıklarından etkilenmez.
Yazılım satıcısı, aşağıdaki tabloda belirtildiği gibi, etkilenen tüm sürümler için sorunu ele almak için güvenlik güncellemeleri yayınladı.
Bu kusurları ele almak için hiçbir geçici çözüm yoktur, bu nedenle öneri şubeniz için mevcut en son sürüme yükseltmektir.
VMware, uzaktan erişim aracında üç kritik otorite baypas hatasını düzeltiyor
45.000'den fazla VMware ESXI sunucusu ömrünün sonuna ulaştı
Microsoft Aralık 2022 Patch Salı 2 sıfır gün, 49 kusur düzeltiyor
NVIDIA, 29 güvenlik kusurunu düzeltmek için GPU sürücü güncellemesini yayınladı
Android Aralık 2022 Güvenlik Güncellemeleri Düzeltme 81 Güvenlik Açıkları
Kaynak: Bleeping Computer