ترمیم آسیب‌پذیری‌های vCenter توسط وی‌ام‌ور

کمیته رکن چهارم – شرکت وی‌ام‌ور آسیب‌پذیری‌های اجرای کد را در سرور vCenter برطرف و این محصول را وصله کرد.

شرکت وی‌ام‌ور (VMware)، غول مجازی‌سازی جهان به‌روزرسانی‌های نرم‌افزاری را برای رفع آسیب‌پذیری‌های خراب حافظه در سرور vCenter که می‌توانست منجر به اجرای کد از راه دور شود، منتشر کرده است.

در مجموع پنج نقص امنیتی در اجرای پروتکل DCERPC از جمله چهار نقص که وی‌ام‌ور آن‌ها را به عنوان آسیب‌پذیری مهم با امتیاز ۸.۱ نشان می‌دهد، توسط به‌روزرسانی جدید این شرکت وصله شد.

بر اساس توصیه‌نامه منتشر شده توسط وی‌ام‌ور، دو مورد از این مشکلات با کد شناسایی CVE-2023-20892 (سرریز بافر) و CVE-2023-20893 (آسیب‌پذیری use-after-free) ردیابی می‌شوند، می‌توانند منجر به اجرای کد از راه دور (RCE) شوند.

در ردیف بعدی CVE-2023-20894 است، یک اشکال نوشتن خارج از محدوده قابل بهره‌برداری از راه دور که می‌تواند از طریق بسته‌های ساخته شده ویژه ایجاد شود و باعث تخریب حافظه شود.

آسیب‌پذیری چهارم، CVE-2023-20895، یک نقص خرابی حافظه است که می‌تواند در شبکه برای دور زدن احراز هویت مورد سوءاستفاده قرار گیرد.

به‌روزرسانی‌های وی‌ام‌ور همچنین آسیب‌پذیری خواندن خارج از محدوده با شدت مهمی را که یک عامل مخرب می‌تواند از راه دور برای ایجاد شرایط انکار سرویس (DoS) در سرویس‌هایی مانند vmcad، vmdird و vmafdd مورد سوءاستفاده قرار دهد، ترمیم می‌کند.

وصله‌هایی برای همه نقص‌ها در سرور vCenter و Cloud Foundation نسخه‌های ۸٫۰ U1b و ۷٫۰ U3m گنجانده شد. وی‌ام‌ور همچنین پچ‌های Async را برای مشتریان VCF منتشر کرد.

سرورvCenter یک نرم‌افزار مدیریت سرور پیشرفته برای تحویل زیرساخت مجازی در سراسر فضای ابری هیبریدی است. این دستگاه در محصولات vSphere و Cloud Foundation گنجانده شده است.

وی‌ام‌ور همچنین توصیه می‌کند که همه مشتریان با توجه به اینکه هیچ راه‌حلی برای هیچ یک از این آسیب‌پذیری‌ها وجود ندارد، محصولات آسیب‌دیده را به نسخه اصلاح‌شده به‌روزرسانی کنند. این شرکت می‌گوید که از هیچ‌یک از این نقص‌ها که مورد بهره‌برداری قرار می‌گیرد آگاه نیست.

منبع: افتانا

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Green Captcha Characters Below.