VMware, Birden Fazla Ürünü Etkileyen Kritik Hataları Düzeltmek için Yamalar Çıkarıyor

 <




VMware, gizli bilgilere erişim sağlamak için kullanılabilecek kritik bir güvenlik açığını gidermek için birden fazla ürün için güvenlik güncellemeleri yayınladı.


CVE-2021-22002 (CVSS puanı: 8.6) ve CVE-2021-22003 (CVSS puanı: 3.7) olarak izlenen kusurlar, VMware Workspace One Access (Access), VMware Identity Manager (vIDM), VMware vRealize Automation'ı (vRA) etkiler. , VMware Cloud Foundation ve vRealize Suite Lifecycle Manager.

CVE-2021-22002, VMware Workspace One Access ve Identity Manager'ın "/cfg" web uygulamasına ve tanılama uç noktalarına bir ana bilgisayar üstbilgisini kurcalayarak 443 numaralı bağlantı noktası üzerinden erişilmesine nasıl izin verdiğiyle ilgili bir sorunla ilgilidir.


Şirket, danışma belgesinde, "443 numaralı bağlantı noktasına ağa erişimi olan kötü niyetli bir aktör, /cfg web uygulamasına erişimi kolaylaştırmak için ana bilgisayar başlıklarını değiştirebilir, ayrıca  /cfg tanılama uç noktalarına kimlik doğrulaması olmadan erişebilir" dedi. Trendyol'dan Süleyman Bayır, kusuru bildirdiği için ödüllendirldi..




Ayrıca VMware tarafından,  7443 numaralı bağlantı noktasında yanlışlıkla açıkta kalan bir oturum açma arabirimi aracılığıyla VMware Workspace One Access ve Identity Manager'ı etkileyen bir bilginin açığa çıkaran bir güvenlik açığı da ele alınmaktadır. hedef hesap için kilitleme ilkesi yapılandırmasına ve parola karmaşıklığına bağlı olarak pratik bir çözüm olabilir veya olmayabilir."


En son sürüme yükseltme yapamayan müşteriler için VMware, CVE-2021-22002 için vRA cihazlarını çevrimdışına almadan bağımsız olarak dağıtılabilen bir geçici çözüm komut dosyası sunuyor. Şirket, "Geçici çözüm, vIDM'nin yapılandırma sayfasını çözme yeteneğini devre dışı bırakıyor. Bu uç nokta vRA 7.6 ortamlarında kullanılmaz ve işlevsellik üzerinde herhangi bir etkiye neden olmaz" dedi.


thehackernews'dan alıntıdır.


Hiç yorum yok: