Quantcast
Aktuelles
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Hardware & Software Alert!: Warten auf Sicherheitsupdates: Admin-Lücke bedroht VMware vCenter Server

Wer virtuelle Maschinen mit VMware vCenter Server oder Cloud Foundation verwaltet, sollte aus Sicherheitsgründen den am Ende dieser Meldung aufgeführten Workaround ausführen. Geschieht das nicht, könnten Angreifer Systeme unter bestimmten Voraussetzungen attackieren.

Wie aus einer Warnmeldung hervorgeht, betrifft die Schwachstelle (CVE-2021-22048 "hoch") den Integrated-Windows-Authentication-Mechanismus (IWA). Hat ein Angreifer Zugriff ("non-administrative") auf vCenter Server, könnte er an der Lücke ansetzen und sich höhere Nutzerrechte verschaffen. Wie das vonstattengehen könnte, ist bislang nicht bekannt.

Server temporär schützen​

VMware gibt an, dass davon vCenter Server 6.7 und 7.0 und Cloud Foundation 3.x und 4.x betroffen sind. Sicherheitspatches sind bislang noch nicht verfügbar. Wann die Updates erscheinen sollen, ist derzeit nicht bekannt.

Bis dahin sollten Admins Systeme über einen Workaround absichern. VMware zufolge müssen sie dafür statt IWA zu AD über LDAPS-Authentifizierung/Identity Provider Federation für AD FS (nur vSphere 7.0) wechseln. Wie das im Detail funktioniert, kann man in einem Beitrag nachlesen.
Quelle: heise
 
Zurück
Oben