VMware

VMware دور زدن احراز هویت حیاتی VCD Appliance را بدون وصله فاش می کند

VMware در مورد یک نقص امنیتی حیاتی و اصلاح نشده در Cloud Director هشدار می دهد که می تواند توسط یک مهاجم برای دور زدن حفاظت های احراز هویت مورد سوء استفاده قرار گیرد.

این آسیب‌پذیری که با شناسه CVE-2023-34060 و امتیاز CVSS: 9.8، فقط بر دستگاه‌هایی تأثیر می‌گذارد که VCD Appliance 10.5 را اجرا می‌کنند و قبلاً از نسخه قدیمی‌تر ارتقا یافته بودند. این شرکت همچنین اضافه کرد که CVE-2023-34060 بر نصب‌های جدید VCD Appliance 10.5، به کارگیری لینوکس و سایر دستگاه‌ها تأثیری ندارد.

VMware توضیح می دهد: “در نسخه ارتقا یافته VMware Cloud Director Appliance 10.5، یک عامل مخرب با دسترسی شبکه به دستگاه می تواند محدودیت های ورود به سیستم را هنگام احراز هویت در پورت 22 (ssh) یا پورت 5480 (کنسول مدیریت دستگاه) دور بزند. این بای پس در پورت 443 وجود ندارد (ارائه دهنده VCD ). در نصب جدید VMware Cloud Director Appliance 10.5، بای پس وجود ندارد”

در حالی که VMware وصله‌ای برای این دور زدن احراز هویت حیاتی ندارد، این شرکت راه‌حل موقتی را تا زمان انتشار به‌روزرسانی‌های امنیتی به مدیران ارائه کرد.

VMware در مشاوره جداگانه ای می گوید: “VMware Security Advisory VMSA-2023-0026 را منتشر کرد تا به مشتریان کمک کند مشکل را درک کنند و آن را برطرف می کند.”

راه حل به اشتراک گذاشته شده توسط VMware فقط برای نسخه های آسیب دیده VCD Appliance 10.5.0 کار می کند و نیاز به دانلود یک اسکریپت سفارشی متصل به این مقاله پایگاه دانش و اجرای آن بر روی قسمت هایی که در معرض آسیب پذیری CVE-2023-34060 دارد.

به گفته VMware، این راه‌حل هیچ اختلالی در عملکرد ایجاد نمی‌کند، و از کار افتادگی نیز نگران کننده نیست، زیرا نه راه‌اندازی مجدد سرویس و راه‌اندازی مجدد لازم نیست.

در ماه ژوئن، این شرکت یک روز صفر ESXi را که توسط هکرهای دولتی چین برای سرقت اطلاعات استفاده می‌شد، اصلاح کرد و به مشتریان در مورد یک باگ حیاتی فعال در ابزار تجزیه و تحلیل Aria Operations for Networks هشدار داد.

اخبار آسیب‌پذیری‌ها را از وبسایت آپا بخش آسیب‌پذیری‌ها می توانید بخوانید، در ضمن صفحه اینستای ما را هم دنبال کنید.

دیدگاه شما

نشانی ایمیل شما منتشر نخواهد شد.