Kritikus sebezhetőséget javított a VMware

A VMware biztonsági hibajavítást adott ki a VMware Cloud Foundation és az NSX Data Center for vSphere (NSX-V) termékeket érintő kritikus távoli kódfuttatási sebezhetőségének megszüntetéséhez.

A CVE-2021-39144 (CVSS pontszám 9,8) számon nyilvántartott biztonsági hiba rendszergazdai jogosultásggal történő távoli kódfuttatásra ad lehetőséget. A sebezehtőség az XStreamben, egy nyílt forráskódú könyvtárban található, amely objektumok XML-be és onnan vissza történő szerializálására szolgál. A hiba az XStream összes iterációját érinti az 1.4.17-es verzióig bezárólag. (Csak az out-of-the-box verziók érintettek, ám azok nem, amelyeknél az XStream biztonsági keretrendszer fehérlista segítségével a minimálisan szükséges típusokra van korlátozva.)

A VMware szerint a sérülékenységben a 6.4.14 előtti NSX-V verziók és a VMware Cloud Foundation (VCF) 3.x kiadásai érintettek. A sebezhetőséget az NSX-v 6.4.14 és a VCF 3.11.0.1 kiadásával orvosolták.

Az NSX-V 6.4.x 2022 januárjában érte el az általános támogatás végét. A VMware a sebezhetőség kritikus súlyossága miatt azonban úgy döntött, hogy a hivatalosan már nem támogatott verziókhoz is kiadja a javítást.

A VMware emellett egy közepes súlyosságú XML External Entity (XXE) sebezhetőséget is javított a VCF-ben (CVE-2022-31678), amelyet a támadók kihasználva szolgáltatásmegtagadási (DoS) állapotot vagy információszivárgást idézhetnek elő.

(securityweek.com)