VMware, beş farklı üründeki çok sayıda yüksek önemdeki güvenlik açığına yönelik yeni bir güvenlik yaması yayınladı.
Etkilenen ürün sayısı ve güvenlik açıklarının yıkıcı potansiyeli göz önüne alındığında, VMware kullanıcıları yamayı bir saniye gecikmeden uygulamaya çağırdı.
Yamayı hemen yükleyemeyenler, uç noktalarını güvende tutmak için bir geçici çözüm de uygulayabilir.
ciddi sonuçlar
En yeni güncellemeyle VMware, bir sunucu tarafı şablon yerleştirme uzaktan kod yürütme güvenlik açığını (CVE-2022-22954), iki OAuth2 ACS kimlik doğrulamasını atlama güvenlik açığını (CVE-2022-22955, CVE-2022-22956) ve iki JDBC yerleştirme uzaktan kumandasını yamaladı kod yürütme güvenlik açıkları (CVE-2022-22957, CVE-2022-22958).
Aynı yama aynı zamanda CVE-2022-22959 (Siteler Arası İstek Sahteciliğine izin verir), CVE-2022-22960 (ayrıcalık yükseltmeye izin verir), CVE-2022-22961 (erişime izin verir) dahil olmak üzere birkaç daha az tehlikeli hatayı giderir. yetkisiz bilgiler).
Bu kusurlara karşı savunmasız VMware ürünleri arasında VMware Workspace ONE Access (Erişim), VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation ve vRealize Suite Lifecycle Manager bulunur.
Kusurlar büyük ve kullanıcılar yamayı uygulamak için acele etmeli:
VMware, “Bu kritik güvenlik açığı, VMSA-2021-0011’deki talimatlara göre derhal yamalanmalı veya hafifletilmelidir. Bu güvenlik açığının sonuçları ciddidir,” dedi.
“Tüm ortamlar farklıdır, risklere karşı farklı toleranslara sahiptir ve riski azaltmak için farklı güvenlik kontrollerine ve derinlemesine savunmaya sahiptir, bu nedenle müşterilerin nasıl ilerleyecekleri konusunda kendi kararlarını vermeleri gerekir. Ancak, güvenlik açığının ciddiyeti göz önüne alındığında, güçlü bir şekilde çalışıyoruz. acil eylem tavsiye ederim.”
Henüz vahşi doğada kusurların kötüye kullanıldığına dair bir kanıt yok, ancak artık bilgi orada olduğuna göre, bu sadece bir zaman meselesi olabilir.
VMware, yama yapamayan herhangi bir kullanıcının, daha fazla ayrıntıyla birlikte bir geçici çözüm uygulayabileceğini ekledi. bu bağlantı (yeni sekmede açılır).
Şirket, “Geçici çözümler uygun olsa da, güvenlik açıklarını ortadan kaldırmaz ve yama uygulamasının kaldırmayacağı ek karmaşıklıklar getirebilir” diye uyardı. “Geçici çözümü yamalama veya kullanma kararı size ait olsa da, VMware bu sorunu çözmenin en basit ve en güvenilir yolu olarak yama uygulamasını her zaman şiddetle tavsiye eder.”
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)
