Argitalpen data: 2022/02/16
Garrantzia:Kritikoa
Kaltetutako baliabideak:
- ESXi, honako bertsioak:
- 7.0 U3;
- 7.0 U2;
- 7.0 U1;
- 7.0;
- 6.7;
- 6.5.
- Fusion, 12.x bertsioak.
- Workstation, 16.x bertsioak.
- Cloud Foundation (ESXi), honako bertsioak:
- 4.x;
- 3.x.
- vSphere-rako NSX Data Center, bertsio guztiak.
Azalpena:
Kunlun Lab-eko Wei ikertzaileek, SECFORCE LTD-ko Dimitri Di Cristofaro eta Przemek Reszke-rekin batera, 6 ahultasunen berri eman dute, 5 larritasun altukoak eta 1 ertainekoa, baina ahultasun horien konbinaketak larritasun kritiko bat eragin lezake.
Konponbidea:
Produktuaren eta bertsioaren arabera eguneratzea:
- ESXi, honako bertsioak:
- 7.0 U3: ESXi70U3c-19193900;
- 7.0 U2: ESXi70U2e-19290878;
- 7.0 U1: ESXi70U1e-19324898;
- 7.0: ESXi70U3c-19193900;
- 6.7: ESXi670-202111101-SG;
- 6.5: ESXi650-202202401-SG.
- Fusion, 12.x bertsioak: 12.2.1.
- Workstation, 16.x bertsioak: 16.2.1.
- Cloud Foundation (ESXi), honako bertsioak:
- 4.x: KB87646 (4.4);
- 3.x: 3.11.
- vSphere-rako NSX Data Center, bertsio guztiak: 6.4.13.
Xehetasuna:
- Makina birtual batean pribilegio administratibo lokalak lituzkeen erasotzaile batek kodea exekuta lezake host-ean exekutatzen den makina birtualeko VMX prozesua bezala. Ahultasun horietarako CVE-2021-22040 eta CVE-2021-22041 identifikatzaileak erabili dira.
- VMX prozesuaren barnean soilik pribilegioak lituzkeen erasotzaile batek settingsd zerbitzura sarbidea lor lezake, pribilegio altuko erabiltzaile baten modura exekutatzen dena. Ahultasun horretarako CVE-2021-22042 identifikatzailea esleitu da.
- settingsd-era sarbidea lukeen erasotzaile batek bere pribilegioak eskala litzake fitxategi arbitrarioak idatziz. Ahultasun horretarako CVE-2021-22043 identifikatzailea esleitu da.
- NSX-Edge (NSX-V) gailu batera SSH sarbidea lukeen erasotzaile batek komando arbitrarioak exekuta litzake sistema eragilean root modura. Ahultasun horretarako CVE-2022-22945 identifikatzailea esleitu da.
Larritasun ertaineko ahultasunerako CVE-2021-22050 identifikatzailea esleitu da.
Etiketak:Eguneraketa, Birtualizazioa, VMware, Ahultasuna