Siirry pääsisältöön
Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Siirry hakuunHae
Suomi
Valikko

Useita kriittisiä haavoittuvuuksia VMwaren virtualisointiohjelmistoissa

Haavoittuvuus27/2022CVSS 9.8

Julkaistu

Useita kriittisiä haavoittuvuuksia VMwaren vRealize Network Insight (vRNI), ESXi, Workstation Pro / Player (Workstation), Fusion Pro / Fusion (Fusion) ja Cloud Foundation virtualisointiohjelmistoissa

VMware vRealize Network Insight (vRNI) -ohjelmistoista on löytynyt kriittisiä haavoittuvuuksia VRNI REST -rajapinnassa. Haavoittuvuuksia hyväksikäyttämällä kohdejärjestelmässä pystytään verkon välityksellä ilman kirjautumista suorittamaan komentoja sekä lukemaan kohdejärjestelmän tiedostoja. Näiden haavoittuvuuksien CVSSv3 tasot ovat 9.8 ja 7.5. Haavoittuvuuksien CVE-numerot ovat: CVE-2022-31702 ja  CVE-2022-31703. 
Lisätietoja: VMwaren tiedote (ulkoinen linkki) (Ulkoinen linkki)

VMware ESXi, VMware Workstation Pro / Player (Workstation), VMware Fusion Pro / Fusion (Fusion) ja VMware Cloud Foundation -ohjelmistoista on löytynyt kriittinen haavoittuvuus. joka mahdollistaa mielivaltaisten komentojen ajamisen virtuaalialustan isäntäkoneessa. Tämän haavoittuvuuden CVSSv3 taso on 5.9 - 9.3 riippuen käytetystä ohjelmistosta. Haavoittuvuuden CVE-numero on: CVE-2022-31705.
Lisätietoja: VMwaren tiedote (ulkoinen linkki) (Ulkoinen linkki)

Kohde

  • Työasemat ja loppukäyttäjäsovellukset
  • Palvelimet ja palvelinsovellukset

Hyökkäystapa

  • Etäkäyttö
  • Ilman käyttäjän toimia
  • Paikallisesti
  • Ilman kirjautumista

Vaikutukset

  • Komentojen mielivaltainen suorittaminen
  • Suojauksen ohittaminen
  • Käyttövaltuuksien laajentaminen
  • Tietojen muokkaaminen
  • Luottamuksellisen tiedon hankkiminen

Hyväksikäyttömenetelmä tiedossa

  • Ei julkaistu

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ongelman rajoittaminen

Haavoittuvuuden kohde

VMware vRealize Network Insight (vRNI) haavoittuvat versiot ovat 6.7, 6.6, 6.5.x, 6.4, 6.3, 6.2.
VMware vRealize Network Insight (vRNI) versio 6.8.0 ei ole haavoittuva.

VMware ESXi haavoittuvat versiot ovat 8.0 ja 7.0.

VMware Fusion (OSX) haavoittuvat versiot ovat 12.x.
VMware Fusion (OSX) versiot 13.x eivät ole haavoittuvia.

VMware Workstation haavoittuvat versiot ovat 16.x.
VMware Workstation versiot 17.x eivät ole haavoittuvia.

VMware Cloud Foundation (ESXi) haavoittuvat versiot ovat 4.x/3.x.

Mistä on kysymys?

VMware vRealize Network Insight (vRNI) haavoittuvuuksien korjaukset
6.76.7 HF
6.66.6 HF
6.5.x6.5.x HF
6.46.4 HF
6.36.3 HF
6.26.2 HF
8.0ESXi80a-20842819KB87617 (ulkoinen linkki) (Ulkoinen linkki)
7.0ESXi70U3si-20841705KB87617 (ulkoinen linkki) (Ulkoinen linkki)
12.x12.2.5KB79712 (ulkoinen linkki) (Ulkoinen linkki)
16.x16.2.5KB79712 (ulkoinen linkki) (Ulkoinen linkki)
4.x/3.xKB90336 (ulkoinen linkki) (Ulkoinen linkki)KB87617 (ulkoinen linkki) (Ulkoinen linkki)