Компания VMware предупреждает о критической уязвимости в Cloud Director, которая может использоваться злоумышленниками для обхода аутентификации. Патча для этой проблемы пока нет.

Cloud Director позволяет администраторам VMware управлять облачными сервисами своих организаций в рамках виртуальных дата-центров (virtual datacenter, VDC).

Уязвимость получила идентификатор CVE-2023-34060 (9,8 балла по шкале CVSS) и затрагивает  только те экземпляры VCD Appliance, которые были обновлены со старой версии до версии 10.5. Компания подчеркивает, что баг не затрагивает установленные с нуля версии VCD Appliance 10.5, Linux-установки и другие устройства.

«В обновленной версии VMware Cloud Director Appliance 10.5 злоумышленник, имеющий сетевой доступ к устройству, может обойти ограничения на вход в систему при аутентификации по порту 22 (ssh) или порту 5480 (консоль управления устройством), — поясняет VMware. — Такой обход невозможен для порта 443 (VCD-провайдер или тенант). На новых установках VMware Cloud Director Appliance 10.5 возможность обхода аутентификации тоже отсутствует».

Хотя пока у VMware нет патча для этого критического обхода аутентификации, компания предоставила администраторам временный вариант решения проблемы, которым можно воспользоваться до выхода обновлений.

«Компания VMware подготовила рекомендацию VMware Security Advisory VMSA-2023-0026, чтобы помочь клиентам понять, в чем заключается проблема и каким методом ее можно устранить», — говорится в отдельном сообщении VMware.

Описанное VMware решение работает только для уязвимых версий VCD Appliance 10.5.0. Для этого необходимо загрузить и использовать специальный кастомный скрипт, предоставленный компанией.

По словам представителей VMware, данное решение не приводит к нарушениям функциональности, а также можно не волноваться о возможном время простоя, так как скрипт не потребует ни перезапуска сервиса, ни перезагрузки.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии