Tilkynnt var um nokkra alvarlega veikleika í VMware Aria Operations for Networks hjá VMware, Inc. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikinn hefur verið lagfærður.
Alvarlegir veikleikar (e. critical)
VMware Aria Operations for Networks
Veikleikinn CVE-2023-34039 með CVSSv3 einkunn uppá 9.8 gerir ógnaraðila kleift að fá aðgang að skipanalínu fyrir VMware Aria Operations for Networks ef ógnaraðili hefur aðgang að SSH auðkenningu fyrir Aria Operations for Networks með því að misnota þennan veikleikann til að komast fram hjá SSH auðkenningu [1,3].
Veikleikinn CVE-2023-20890 með CVSSv3 einkunn uppá 7.2 gerir ógnaraðila með kerfisstjóraaðgang að VMware Aria Operations for Networks kleift að skrifa skrár á ótiltekna staði sem getur leitt til keyrslu á kóða [1,3].
Eftirfarandi kerfi eru veik fyrir göllunum:
VMware Aria Operations for Networks: 6.2 / 6.3 / 6.4 / 6.5.1 / 6.6 / 6.7 / 6.8 / 6.9 / 6.10
Veikleikinn hefur verið lagfærður í eftirfarandi útgáfum:
VMware Aria Operations for Networks: 6.11.0 / KB94152
Tilvísanir:
[1] https://www.vmware.com/security/advisories/VMSA-2023-0018.html
[2] https://kb.vmware.com/s/article/94152
[3] https://www.securityweek.com/vmware-patches-major-security-flaws-in-network-monitoring-product/
