Für VMware Cloud Foundation wurde ein IT-Sicherheitswarnungsupdate für eine bekannte Schwachstelle veröffentlicht. Eine Beschreibung der Sicherheitslücken inklusive der neusten Updates und Informationen zu den betroffenen Betriebssystemen und Produkten können Sie hier nachlesen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 26. Oktober 2022 einen Security Advisory für VMware Cloud Foundation veröffentlicht. Die Benachrichtigung listet mehrere Schwachstellen auf, die von Angreifern ausgenutzt werden können. Betroffen von der Schwachstelle sind die Betriebssysteme UNIX, Linux und Windows sowie das Produkt VMware Cloud Foundation. Die folgende Warnung wurde zuletzt am 01.11.2022 aktualisiert.
Kritische Schwachstelle für VMware Cloud Foundation entdeckt
Risikostufe: 5 (kritisch)
CVSS-Basiswert: 9,8
CVSS Temp-Score: 9,1
Fernangriff: Ja
Das Common Vulnerability Scoring System (CVSS) dient der Bewertung der Verwundbarkeit von Computersystemen. Der CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken anhand verschiedener Kriterien zu vergleichen, um Gegenmaßnahmen besser zu priorisieren. Für die Schwere einer Schwachstelle werden die Attribute „keine“, „niedrig“, „mittel“, „hoch“ und „kritisch“ verwendet. Der Basiswert bewertet die Voraussetzungen für einen Angriff (u. a. Authentifizierung, Komplexität, Berechtigungen, Benutzerinteraktion) und seine Folgen. Der Temporal Score berücksichtigt auch zeitliche Veränderungen der Risikosituation. Das Risiko der hier diskutierten Schwachstelle wird laut CVSS mit einem Basiswert von 9,8 als „kritisch“ eingestuft.
Fehler in VMware Cloud Foundation: Beschreibung des Angriffs
VMware Cloud Foundation ist eine Hybrid-Cloud-Plattform für VM-Management und Container-Instrumentierung.
Ein entfernter, anonymer Angreifer könnte mehrere Schwachstellen in VMware Cloud Foundation ausnutzen, um beliebigen Code mit Administratorrechten auszuführen, einen Denial-of-Service zu verursachen oder Informationen offenzulegen.
Die Schwachstelle wird mit den eindeutigen CVE-Seriennummern (Common Vulnerabilities and Exposures) identifiziert. CVE-2021-39144 und CVE-2022-31678 gehandelt
Von der Schwachstelle betroffene Systeme auf einen Blick
Betriebssysteme
UNIX, Linux, Windows
Produkte
VMware Cloud Foundation NSX-V 3.11 (cpe://a:vmware:cloud_foundation)
Allgemeine Empfehlungen zum Umgang mit IT-Schwachstellen
-
Benutzer der betroffenen Anwendungen sollten diese auf dem Laufenden halten. Wenn Sicherheitslücken bekannt werden, müssen Hersteller diese so schnell wie möglich beheben, indem sie einen Patch oder Workaround entwickeln. Wenn neue Sicherheitsupdates verfügbar sind, installieren Sie diese sofort.
-
Weitere Informationen finden Sie in den im nächsten Abschnitt aufgeführten Quellen. Diese enthalten oft zusätzliche Informationen über die neueste Version der betreffenden Software und die Verfügbarkeit von Sicherheitspatches oder Workaround-Tipps.
-
Bei weiteren Fragen oder Unsicherheiten wenden Sie sich bitte an Ihren zuständigen Vorgesetzten. IT-Sicherheitsbeauftragte sollten die oben genannten Quellen regelmäßig prüfen, ob ein neues Sicherheitsupdate verfügbar ist.
Quellen für Updates, Patches und Problemumgehungen
Derzeit gibt es zusätzliche Links mit Informationen zu Fehlerberichten, Sicherheitskorrekturen und Problemumgehungen.
VMware-Sicherheitsempfehlung vom 25.10.2022 (26.10.2022)
Weitere Informationen finden Sie unter: https://www.vmware.com/security/advisories/VMSA-2022-0027.html
VMware-Sicherheitsempfehlung vom 25.10.2022 (26.10.2022)
Weitere Informationen finden Sie unter: https://www.vmware.com/security/advisories/VMSA-2022-00031.html
Versionsverlauf dieser Sicherheitswarnung
Dies ist die zweite Version dieser IT-Sicherheitsempfehlung für VMware Cloud Foundation. Sobald weitere Aktualisierungen angekündigt werden, wird dieser Text aktualisiert. Änderungen oder Ergänzungen können Sie in dieser Versionshistorie nachlesen.
01.11.2022 – Exploit inklusive
26.10.2022 – Erste Version
+++ Anmerkung der Redaktion: Dieser Text wurde mit KI-Unterstützung auf Basis aktueller BSI-Daten erstellt. Kommentare und Feedback nehmen wir unter [email protected] entgegen. +++
Folgen Nachrichten.de schon bei Facebook, Twitter, Pinterest und Youtube? Hier finden Sie aktuelle News, aktuelle Videos und den direkten Draht zur Redaktion.
roj/news.de
