Skip to main content

Useissa VMware-tuotteissa havaittu vakava haavoittuvuus

Havainnollistava kuva verkkoturvasuojauksesta
(Kuva: Shutterstock)

VMware on julkaissut uuden suojauspäivityksen, joka korjaa useita kriittisiä haavoittuvuuksia viidessä eri laitteessa.

Yhtiö onkin kehottanut kaikkia käyttäjiä päivittämään laitteensa välittömästi, sillä haavoittuvuudet koskevat useita laitteita ja ovat pahimmillaan tuhoisia.

Mutta jos laitettaan ei voi jostain syystä päivittää välittömästi, käyttäjät voivat turvata itsensä muilla keinoin siihen asti.

Vakavia seuraamuksia

Uusimman päivityksen myötä VMware korjaa serveripuolen koodista löytyneen haavoittuvuuden (CVE-2022-22954), kaksi OAuth2 ACS -vahvistuksessa löytynyttä haavoittuvuutta (CVE-2022-22955, CVE-2022-22956), ja kaksi JDBC-koodissa ollutta haavoittuvuutta (CVE-2022-22957, CVE-2022-22958).

Sama päivitys korjaa myös muutaman muun hieman vaarattomamman bugin, kuten CVE-2022-22959 (mahdollistaa sivustojen välisen väärennyspyynnön), CVE-2022-22960 (mahdollistaa käyttöoikeuseskalaation) ja CVE-2022-22961 (mahdollistaa sisäänpääsyn ilman tunnistautumista).

Haavoittuvuudesta kärsiviä VMware-tuotteita ovat VMware Workspace ONE Access (Access), VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation, ja vRealize Suite Lifecycle Manager.

Haavoittuvuudet ovat vakavia ja käyttäjiä kehotetaan päivittämään laitteet mahdollisimman nopeasti:

"Kriittiset päivitykset suositellaan päivittämään tai korjaamaan välittömästi VMSA-2021-0011:ssä olevan ohjeen mukaisesti. Haavoittuvuuden seuraamukset ovat vakavat", yhtiö sanoi.

"Kaikki ympäristöt ovat erilaisia, niissä on eri suojaus riskejä vastaan sekä turvat riskien vähentämiseksi, joten käyttäjien täytyy tehdä omat päätökset asian edistämiseksi. Ottaen kuitenkin huomioon haavoittuvuuden vakavuuden, suosittelemme tekemään päätöksen välittömästi."

Toistaiseksi ei ole havaittu todisteita, että näitä haavoittuvuuksia olisi käytetty hyväksi. Mutta nyt kun tieto on kaikkien tiedossa, asiat voivat muuttua nopeasti.

VMware kertoi käyttäjille, jotka eivät voi päivittää laitteitaan välittömästi, kuinka estää haavoittuvuus. Yhtiö kertoi tarkemmat ohjeet kotisivuillaan (Avaa uuteen ikkunaan).

"Muut keinot voivat olla käteviä, mutta ne eivät poista haavoittuvuuksia. Lisäksi ne voi tuoda mukanaan muita ongelmia, joita päivityksessä ei tapahdu", yhtiö varoittaa. "Vaikka päätös päivittää tai käyttää toisia keinoja on lopulta käyttäjällä, VMware suosittelee vahvasti päivittämään laitteet, sillä se on helpoin ja luotettavin tapa ratkaista ongelma."

Lähde: BleepingComputer (Avaa uuteen ikkunaan)

Joonas Pikkarainen on teknologia- ja pelitoimittaja, jolla on erityisen vahvat juuret juuri pelialan raportoinnista useissa eri kotimaisissa medioissa. Muihin kiinnostuksiin lukeutuvat valokuvaus, videotuotanto ja elokuvat, sekä oikeastaan kaikki muu siltä väliltä ja näiden lisäksi.

Alkuperäisteksti