VMware dicht kwetsbaarheden in de vSphere Web Client – gedeeltelijk


Er zijn beveiligingslekken in de vSphere Web Client van VMware waardoor aanvallers onder meer gevoelige informatie kunnen verkrijgen. De fabrikant dicht de kwetsbaarheden af ​​met bijgewerkte vSphere-serverversies. De software Cloud Foundation (vCenter Server) 3.x wordt ook beïnvloed. Volgens de fabrikant laat een update echter nog op zich wachten.

De ernstigste kwetsbaarheid ontstond uit het feit dat de vSphere Web Client alle bestanden kon lezen zonder autorisatie (CVE-2021-21980). Als gevolg hiervan zouden aanvallers toegang kunnen krijgen tot gevoelige informatie met toegang tot poort 443 van de vCenter Server. legt VMware uit in zijn beveiligingsadvies. Het bedrijf beoordeelt het risico als hoog en geeft het een CVSS-score van 7,5.

Een ander hiaat met gemiddeld risico zat in de vSAN Web Client Plug-in van de vSphere Web Client (CVSS 6.5). Het stelde kwaadwillende gebruikers in staat om wat bekend staat als Server Side Request Forgery (SSRF) te activeren. Hierdoor kan een aanvaller ervoor zorgen dat de server verzoeken naar andere systemen stuurt (CVE-2021-22049). Voor de geïnteresseerden, punt 10 van de Achtergrondartikel over de grootste risico’s volgens de OWASP Top Ten 2021 meer details over SSRF.

De kwetsbaarheden treffen vCenter Server 6.5 en 6.7, waarvoor de gecorrigeerde versies 6.5 U3r en 6.7 U3p beschikbaar zijn. VMware heeft ze als downloads gekoppeld in de bovenstaande beveiligingsmededeling. Voor de Cloud Foundation (vCenter Server), die ook getroffen wordt, is er dus nog een patch in behandeling.

Beheerders moeten de aangeboden updates zo snel mogelijk installeren. Zodra de updates van Cloud Foundation beschikbaar komen, raden we aan deze snel toe te passen. Het kan de moeite waard zijn om te upgraden naar Cloud Foundation 4.x, aangezien deze versie, net als vCenter Server 7.0, volgens de fabrikant geen last heeft van de hiaten.


(dmk)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: