Digital Eliteboard - Das große Technik Forum

Registriere dich noch heute kostenloses um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereiche, welche für Gäste verwehrt bleiben

Hardware & Software Alert!: ( Update) VMware dichtet Schwachstellen in vSphere Web Client ab - zum Teil

In VMwares vSphere Web Client klaffen Sicherheitslücken, durch die Angreifer unter anderem an sensible Informationen gelangen könnten. Mit aktualisierten vSphere-Server-Versionen dichtet der Hersteller die Schwachstellen ab. Die Software Cloud Foundation (vCenter Server) 3.x ist ebenfalls betroffen. Dafür steht eine Aktualisierung dem Hersteller zufolge jedoch noch aus.

Die schwerwiegendste Schwachstelle tat sich dadurch auf, dass der vSphere Web Client ohne Autorisierung beliebige Dateien einlesen konnte (CVE-2021-21980). In Folge dessen könnten Angreifer mit Zugriff auf den Port 443 des vCenter Servers an sensible Informationen gelangen,
Bitte, Anmelden oder Registrieren um URL-Inhalte anzeigen!
. Das Risiko schätzt das Unternehmen als hoch ein und bewertet es mit einem CVSS-Score von 7.5.
Eine weitere Lücke mittleren Risikos steckte zudem im vSAN Web Client Plug-in des vSphere Web Client (CVSS 6.5). Sie ermöglichte es böswilligen Nutzern, eine sogenannte Server Side Request Forgery (SSRF) auszulösen. Dadurch könnte ein Angreifer den Server veranlassen, Anfragen an andere Systeme zu senden (CVE-2021-22049). Interessierten liefert der Punkt 10 des
Bitte, Anmelden oder Registrieren um URL-Inhalte anzeigen!
nähere Details zu SSRF.

Aktualisierungen nur teilweise verfügbar​

Betroffen von den Lücken sind vCenter Server 6.5 und 6.7, für die die fehlerbereinigten Fassungen 6.5 U3r respektive 6.7 U3p bereitstehen. VMware hat sie in obiger Sicherheitsmeldung als Downloads verlinkt. Für das ebenfalls betroffene Cloud Foundation (vCenter Server) sei ein Patch demzufolge aber noch ausstehend.

Die angebotenen Aktualisierungen sollten Administratoren zeitnah installieren. Sobald die Cloud Foundation-Updates verfügbar werden, empfiehlt sich auch deren zügige Anwendung. Gegebenenfalls lohnt sich auch ein Upgrade auf Cloud Foundation 4.x, da diese Version ebenso wie vCenter Server 7.0 dem Hersteller zufolge von den Lücken nicht betroffen ist.
Quelle: heise
 
Oben