Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Уязвимости, оцененные как критические, крылись в компоненте vSphere Data Protection (VDP).
Компания VMware, входящая в группу Dell Technologies, выпустила патчи для трех критических уязвимостей, затрагивающих платформу виртуализации серверов vSphere.
Эти бреши (CVE-2017-15548, CVE-2017-15549, CVE-2017-15550) крылись в vSphere Data Protection (VDP) — решении, обеспечивающем резервное копирование и восстановление образов виртуальных машин. Уязвимостям подвержены VDP версий 6.1.x, 6.0.x и 5.x, работающие на виртуальных устройствах от VMware (Virtual Appliances).
Согласно бюллетеню разработчика, CVE-2017-15548 открывает возможность для удаленного «обхода аутентификации приложения и получения несанкционированного root-доступа к уязвимой системе».
Эксплойт CVE-2017-15549 требует аутентификации и позволяет удаленному злоумышленнику с ограниченными привилегиями «загружать произвольные вредоносные файлы в любое место файловой системы на сервере».
Уязвимость CVE-2017-15550 представляет собой баг обхода каталога (path traversal), позволяющий «удаленному аутентифицированному злоумышленнику с низкими привилегиями получить доступ к произвольному файлу в файловой системе сервера в контексте запущенного уязвимого приложения».
Соответствующие патчи включены в состав двух новых сборок VDP — 6.0.7 и 6.1.6. Альтернативных мер защиты разработчик не предлагает.
В прошлом году VMware устранила несколько уязвимостей в VDP, усовершенствовав, в числе прочего, десериализацию Java-объектов и способ хранения учетных данных.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |