Games-code.ru

Games-code.ru
Софт

Программный сервер VMware позволяет перехватывать контроль над ОС Windows и Linux

by super_user023

Программный сервер VMware позволяет перехватывать контроль над ОС Windows и Linux

Угроза уровня 9,1 из 10

Компания VMware признала наличие
критической уязвимости во множественных компонентах своего решения VMware Workspace One — центрального сервера
для управления устройствами. Уязвимость позволяет запускать произвольные
команды на уровне операционной системы хоста под Linux или Windows. Полноценного исправления еще не выпущено, но
компания опубликовала промежуточный вариант решения проблемы.

Уязвимость CVE-2020-4006 относится к
классу «инъекция команды» и затрагивает административный конфигуратор в
некоторых версиях Workspace One Access, а также Identity Manager и Identity Manager Connector.

Степень угрозы по шкале CVSS составляет 9,1 из 10
баллов. «Злоумышленник с сетевым доступом к административному конфигуратору
через порт 8443 и действующим паролем к административному аккаунту может
запускать команды с неограниченными привилегиями в подлежащей операционной
системе», — говорится в бюллетене VMware.

Администратор чего именно?

Уязвимость CVE-2020-4006 затрагивает VMware Workspace
One Access 20.10 (под Linux), VMware Workspace One Access 20.01 (Linux),VMware Identity Manager
3.3.1-3.3.3 (Linux),VMware Identity Manager Connector 3.3.2, 3.3.1 (Linux), VMware Identity
Manager Connector 3.3.3, 3.3.2, 3.3.1 (Windows).

Дыра в ПО VMware позволяет управлять связанными с ним ОС Windows и Linux

Полноценное исправление
будет выпущено в ближайшее время. Пока же VMware предлагает временное решение: ряд команд, которые
блокируют вектор возможной атаки, но вместе с ними — и возможность вносить
какие-либо изменения в конфигуратор.

«По сути речь идет о том,
что администратор панели управления Workspace One может выполнять те же действия, что и администратор
операционной системы, на которую устанавливается Workspace One, что, безусловно, ненормально, — говорит Тарас Татаринов, эксперт по информационной
безопасности компании “Информационные технологии будущего”. — Разграничение
полномочий должно оставаться неизменным. И хотя ключевое условие для
эксплуатации уязвимости — наличие административного пароля (а его еще надо
каким-либо образом получить), уязвимость и вправду заслуживает определения
критической».

2020-11-27 14:23:46

Источник

Related posts

«МойОфис» и «ЛотОС» представили комплект решений для госструктур с возможностью ускоренной установки

super_user

Эксперты Eset предупредили об атаке на пользователей Faceapp

super_user

Сбербанк представил поиск по приложению «Сбербанк онлайн» на базе машинного обучения

super_user

Leave a Comment

Save my name, email, and website in this browser for the next time I comment.