VMware warnt vor gefährlichen Schwachstellen

22. September 2021, 11:48
  • security
  • lücke
  • vmware
image

19 Lücken betreffen vCenter Server und Cloud Foundation. Einige gelten als sehr kritisch.

VMware hat eine Warnung zu mehreren Schwachstellen in vCenter Server- und Cloud-Foundation-Appliances veröffentlicht. Diese könnten Remote-Angreifer ausnutzen, um die Kontrolle über ein betroffenes System zu übernehmen.
Die kritischste Schwachstelle (CVSS-Score: 9,8) ist "CVE-2021-22005", die sich beim Hochladen von Daten im Analytics-Dienst auf Bereitstellungen von vCenter Server 6.7 und 7.0 auswirkt. "Ein böswilliger Akteur mit Netzwerkzugriff auf Port 443 von vCenter Server kann diese Lücke ausnutzen, um Code auszuführen, indem er eine speziell gestaltete Datei hochlädt", erklärt VMware in einem Blogbeitrag.
"Die Auswirkungen sind gravierend und es ist eine Frage der Zeit – wahrscheinlich nur wenige Minuten nach der Offenlegung – bis funktionierende Exploits öffentlich verfügbar sind", heisst es weiter. Kunden werden aufgefordert, ihre vCenter-Installationen sofort zu aktualisieren.
Weitere kritische Schwachstellen sind "CVE-2021-21991" (CVSS-Score: 8,8), eine Sicherheitsanfälligkeit bezüglich lokaler Rechteausweitung in vCenter Server. "CVE-2021-22006" (CVSS-Score: 8,3) bezüglich vCenter Server Reverse-Proxy-Umgehung und "CVE-2021-22011" (CVSS-Score: 8,1) bezüglich nicht authentifizierter API-Endpunkt des vCenter Servers.
VMware hat eine detaillierte Liste aller 19 Schwachstellen veröffentlicht.

Loading

Mehr zum Thema

image

Eine Zeroday-Lücke lebte bei Microsoft zwei Jahre unbehelligt

Microsoft anerkennt die Schwachstelle "Dogwalk" nach zwei Jahren als Gefahr und veröffentlicht einen Patch. Sie wird bereits ausgenutzt.

publiziert am 16.8.2022
image

Report: Githubs KI-Tool Copilot macht Code unsicherer

Das einst gross angekündigte Tool von Github schreibe eine Menge Lücken in Software, erklären Forscher aus den USA. Sie haben ihre Befunde an der Black-Hat-Konferenz präsentiert.

publiziert am 12.8.2022
image

Edöb besetzt weitere Stellen wegen der Revision des Datenschutzgesetzes

Derzeit sucht der Datenschutzbeauftragte einen Informatiker für die Leitung von Kontrollen. Im Rahmen des neuen DSG wurden 8 Vollzeitstellen gesprochen.

publiziert am 12.8.2022
image

Cyberattacken abwehren bis zum Burnout

Laut einer aktuellen Umfrage leidet fast die Hälfte aller Incident-Responder unter extremem Stress oder sogar Burnouts.

publiziert am 11.8.2022