VMware Mengeluarkan Tambalan untuk Memperbaiki Bug Kritis yang Mempengaruhi Banyak Produk

  • Whatsapp
VMware

VMware telah merilis pembaruan keamanan untuk beberapa produk guna mengatasi kerentanan kritis yang dapat dieksploitasi untuk mendapatkan akses ke informasi rahasia.

Dilacak sebagai CVE-2021-22002 (Skor CVSS: 8.6) dan CVE-2021-22003 (Skor CVSS: 3.7), kelemahan tersebut mempengaruhi VMware Workspace One Access (Access), VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation, dan vRealize Suite Lifecycle Manager.

Bacaan Lainnya

Tim Stack Overflow

CVE-2021-22002 menyangkut masalah bagaimana VMware Workspace One Access dan Identity Manager memungkinkan aplikasi web “/ cfg” dan titik akhir diagnostik diakses melalui port 443 dengan merusak header host, menghasilkan permintaan sisi server.

“Aktor jahat dengan akses jaringan ke port 443 dapat merusak header host untuk memfasilitasi akses ke aplikasi web /cfg, selain itu aktor jahat dapat mengakses titik akhir diagnostik /cfg tanpa otentikasi,” perusahaan dikatakan dalam nasehatnya. Suleyman Bayir dari Trendyol telah dikreditkan dengan pelaporan cacat.

Juga ditangani oleh VMware adalah kerentanan pengungkapan informasi yang berdampak pada VMware Workspace One Access dan Identity Manager melalui antarmuka login yang terbuka secara tidak sengaja pada port 7443. Penyerang dengan akses jaringan ke port 7443 berpotensi melakukan serangan brute force, yang dicatat oleh perusahaan: ” mungkin atau mungkin tidak praktis berdasarkan konfigurasi kebijakan penguncian dan kompleksitas kata sandi untuk akun target.”

Manajemen Kata Sandi Perusahaan

Untuk pelanggan yang tidak dapat melakukan upgrade ke versi terbaru, VMware menawarkan skrip solusi untuk CVE-2021-22002 yang dapat digunakan secara independen tanpa membuat peralatan vRA offline. “Solusinya menonaktifkan kemampuan untuk menyelesaikan halaman konfigurasi vIDM. Titik akhir ini tidak digunakan di lingkungan vRA 7.6 dan tidak akan menyebabkan dampak apa pun pada fungsionalitas,” kata perusahaan itu.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *