VMware publikuje biuletyn bezpieczeństwa VMSA-2022-0030

cert.pse-online.pl 2 lat temu

Produkt	vCenter Server: 6.5 – 7.0 U31
Numer CVE	CVE-2022-31698
Krytyczność	5,8/10
CVSS	AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:L
Opis	Luka w zabezpieczeniach występuje z powodu niewystarczającego sprawdzania poprawności danych wejściowych dostarczonych przez użytkownika w usłudze biblioteki zawartości podczas obsługi nagłówków HTTP. Osoba atakująca zdalnie może wysłać specjalnie spreparowane żądanie HTTP do portu 443/tcp i przeprowadzić atak typu „odmowa usługi” (DoS).

Numer CVE	CVE-2022-31697
Krytyczność	6,2/10
CVSS	AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Opis	Luka w zabezpieczeniach istnieje, ponieważ oprogramowanie przechowuje poświadczenia w postaci zwykłego tekstu w plikach dziennika. Użytkownik lokalny z dostępem do stacji roboczej, która wywołała operację ISO urządzenia vCenter Server Appliance (Instalacja/Aktualizacja/Migracja/Przywracanie), może uzyskać dostęp do haseł w postaci zwykłego tekstu używanych podczas tej operacji.

Aktualizacja	TAK
Link	https://www.vmware.com/security/advisories/VMSA-2022-0030.html

Produkt	VMware ESXi: ESXi70U1b-17168206 – ESXi670-20211104001
Numer CVE	CVE-2022-31699
Krytyczność	4,2/10
CVSS	AV:L/AC:H/PR:L/UI:N/S:C/C:L/I:L/A:N
Opis	Luka w zabezpieczeniach występuje z powodu błędu granicznego w sposobie obsługi gniazd sieciowych. Lokalny użytkownik uprzywilejowany może wywołać uszkodzenie pamięci i wykonać dowolny kod z podwyższonymi uprawnieniami.

Numer CVE	CVE-2022-31696
Krytyczność	7,5/10
CVSS	AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H
Opis	Luka w zabezpieczeniach występuje z powodu błędu granicznego w sposobie obsługi gniazd sieciowych. Lokalny użytkownik uprzywilejowany może wywołać uszkodzenie pamięci i wykonać dowolny kod z podwyższonymi uprawnieniami.

Aktualizacja	TAK
Link	https://www.vmware.com/security/advisories/VMSA-2022-0030.html