VMware publikuje biuletyn bezpieczeństwa VMSA-2023-0014. (P23-130)

cert.pse-online.pl 10 miesięcy temu

Produkt	vCenter Server: wersje 7.0 – 8.0c
Numer CVE	CVE-2023-20892
Krytyczność	8.1/10
CVSS	AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Opis	Luka występuje z powodu błędu granicznego w implementacji protokołu DCERPC. Atakujący zdalnie może wysłać specjalnie spreparowane pakiety do serwera, wywołać przepełnienie bufora oparte na stercie i wykonać dowolny kod w systemie docelowym.

Numer CVE	CVE-2023-20893
Krytyczność	8.1/10
CVSS	AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Opis	Luka w zabezpieczeniach występuje z powodu błędu użycia po zwolnieniu w implementacji protokołu DCERPC. Osoba atakująca zdalnie może wysłać specjalnie spreparowane pakiety do serwera, wywołać błąd użycia po zwolnieniu i wykonać dowolny kod w systemie.

Numer CVE	CVE-2023-20894
Krytyczność	8.1/10
CVSS	AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Opis	Luka występuje z powodu błędu granicznego w implementacji protokołu DCERPC. Osoba atakująca zdalnie może wysłać specjalnie spreparowane pakiety do serwera, wyzwolić zapis poza zakresem i wykonać dowolny kod w systemie docelowym.

Numer CVE	CVE-2023-20895
Krytyczność	8.1/10
CVSS	AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Opis	Luka występuje z powodu warunku granicznego w implementacji protokołu DCERPC. Osoba atakująca zdalnie może wysłać specjalnie spreparowany ruch do serwera, aby wywołać błąd odczytu poza zakresem i odczytać zawartość pamięci w systemie. Uzyskane informacje mogą zostać wykorzystane do obejścia procesu uwierzytelniania i naruszenia bezpieczeństwa systemu.

Numer CVE	CVE-2023-20896
Krytyczność	5,9/10
CVSS	AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H
Opis	Luka istnieje z powodu warunku granicznego w implementacji protokołu DCERPC. Osoba atakująca zdalnie może wysłać specjalnie spreparowane pakiety do serwera, wywołać błąd odczytu poza zakresem i spowodować awarię usług vmcad, vmdird lub vmafdd.

Aktualizacja	TAK
Link	https://www.vmware.com/security/advisories/VMSA-2023-0014.html