انتشار ۳ وصله‌ی حیاتی برای محافظت از داده‌ی vSphere توسط VMware

شرکت VMware، هفته‌ی گذشته برای آسیب‌پذیری‌های حیاتی که بستر مجازی‌سازی پردازش ابری vSphere را تحت تاثیر قرار می‌دهد، چند وصله منتشر کرد.

 

این وصله‌ها ۳ آسیب‌پذیری موجود در محافظت از داده‌ی vSphere (VDP) مربوط به  VMware را رفع می‌کنند و یک راه‌حل تهیه‌ی پشتیبان و بازیابی استفاده شده در بستر vSphere را ارائه می‌دهند. به گفته‌ی این شرکت، یک مهاجم راه‌دور می‌تواند از این آسیب‌پذیری‌ها بهره‌برداری کند و کنترل سامانه‌های آسیب‌دیده را به دست گیرد.

 

هر کدام از این آسیب‌پذیری‌ها (CVE-2017-15548، CVE-2017-15549، CVE-2017-15550) حیاتی ارزیابی شده‌اند. نسخه‌های 6.1.x، 6.0.x و 5.x که در حال اجرا در تجهیزات مجازی VMware هستند، تحت تاثیر قرار گرفته‌اند. این شرکت گفت فعلاً هیچ راه‌حلی در دسترس نیست.

 

در واقع VDP یک راه‌حل تهیه‌ی پشتیبان برای استفاده در محیط‌های vSphere است و معمولاً در کنار کارگزار vCenter مربوط به  VMware و کارخواه وب vSphere اجرا می‌شود.

 

توصیه‌نامه‌ی امنیتی VMware یکی از آسیب‌پذیری‌ها (CVE-2017-15548) را به عنوان یک آسیب‌پذیری دور زدن احراز هویت VDP توصیف می‌کند. بنا به گفته‌ی این شرکت، این آسیب پذیری به یک کاربر مخرب احراز هویت نشده‌ی راه دور اجازه می‌دهد که به صورت بالقوه احراز هویت برنامه را دور بزند و به دسترسی غیرمجاز ریشه‌ به سامانه‌های آسیب‌دیده دست یابد.

 

دومین آسیب‌پذیری بارگذاری VDP (CVE-2017-15549) به یک کاربر مخرب احراز هویت شده‌ی راه دور با امتیازات سطح پایین اجازه می‌دهد که به صورت بالقوه پرونده‌های مخرب دلخواه را در هر مکانی از سامانه‌ی پرونده‌ی کارگزار بارگذاری کند.

 

آخرین آسیب‌پذیری CVE-2017-15550 یک آسیب‌پذیری پیمایش مسیر است که به یک کاربر مخرب احراز هویت شده‌ی راه دور با امتیازات سطح پایین اجازه می‌دهد که به پرونده‌های دلخواه سامانه‌ی پرونده‌ی کارگزار در زمینه‌ي اجرای برنامه‌های آسیب‌پذیر دسترسی پیدا کند.

 

بنا به گفته‌ی VMware، برای هر کدام از این آسیب‌پذیری‌ها وصله‌ها از طریق به‌روزرسانی به هر کدام از نسخه‌های آسیب‌دیده‌ی VDP در دسترس هستند. VMware دیگر وارد جزئیات این آسیب‌پذیری‌ها نمی‌شود.

 

سال گذشته VMware چند آسیب‌پذیری مربوط به راه‌حل محافظت داده‌ی vSphere خود، شامل یک مسأله‌ی ناپیوستگی جاوا و یک آسیب‌پذیری در VDP مربوط به نحوه‌ی ذخیره‌ی گواهی‌نامه‌ها را وصله کرد.

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید