VMware предупреждает о критической и не устраненной уязвимости безопасности Cloud Director, которая может быть использована злоумышленником для обхода защиты от аутентификации.
Отслеживаемая как CVE-2023-34060 (оценка CVSS: 9,8), уязвимость затрагивает экземпляры, которые были обновлены до версии 10.5 с более старой версии.
"В обновленной версии VMware Cloud Director Appliance 10.5 злоумышленник, имеющий сетевой доступ к устройству, может обойти ограничения входа при аутентификации через порт 22 (ssh) или порт 5480 (консоль управления устройством)", - говорится в предупреждении компании.
"Этот обход отсутствует на порту 443 (вход для поставщика VCD и клиента). При новой установке VMware Cloud Director Appliance 10.5 обход отсутствует".
Компания, предоставляющая услуги виртуализации, далее отметила, что это связано с тем, что она использует версию sssd из базовой ОС Photon, на которую влияет CVE-2023-34060.
Дастину Хартлу из поставщика ИТ-решений Ideal Integrations приписывают обнаружение недостатков и сообщение о них.
Хотя VMware еще предстоит выпустить исправление, устраняющее проблему, она предоставила временное решение в виде скрипта ("WA_CVE-2023-34060.sh").
Также подчеркивается, что внедрение временного смягчения не потребует простоя и не окажет побочного эффекта на функциональность установок Cloud Director.
Разработка началась через несколько недель после того, как VMware выпустила исправления для другой критической ошибки в vCenter Server (CVE-2023-34048, оценка CVSS: 9,8), которая может привести к удаленному выполнению кода в затронутых системах.
Отслеживаемая как CVE-2023-34060 (оценка CVSS: 9,8), уязвимость затрагивает экземпляры, которые были обновлены до версии 10.5 с более старой версии.
"В обновленной версии VMware Cloud Director Appliance 10.5 злоумышленник, имеющий сетевой доступ к устройству, может обойти ограничения входа при аутентификации через порт 22 (ssh) или порт 5480 (консоль управления устройством)", - говорится в предупреждении компании.
"Этот обход отсутствует на порту 443 (вход для поставщика VCD и клиента). При новой установке VMware Cloud Director Appliance 10.5 обход отсутствует".
Компания, предоставляющая услуги виртуализации, далее отметила, что это связано с тем, что она использует версию sssd из базовой ОС Photon, на которую влияет CVE-2023-34060.
Дастину Хартлу из поставщика ИТ-решений Ideal Integrations приписывают обнаружение недостатков и сообщение о них.
Хотя VMware еще предстоит выпустить исправление, устраняющее проблему, она предоставила временное решение в виде скрипта ("WA_CVE-2023-34060.sh").
Также подчеркивается, что внедрение временного смягчения не потребует простоя и не окажет побочного эффекта на функциональность установок Cloud Director.
Разработка началась через несколько недель после того, как VMware выпустила исправления для другой критической ошибки в vCenter Server (CVE-2023-34048, оценка CVSS: 9,8), которая может привести к удаленному выполнению кода в затронутых системах.
