A gigante da virtualização VMware publicou atualizações de software para lidar com várias vulnerabilidades de corrupção de memória no vCenter Server que podem levar à execução remota de código.

Um total de cinco defeitos de segurança foram corrigidos na implementação do software do protocolo DCERPC, incluindo quatro que a VMware sinaliza como ‘importantes’, com uma pontuação CVSS de 8,1.

Duas dessas questões, rastreadas como CVE-2023-20892 (estouro do buffer de heap devido à memória não inicializada) e CVE-2023-20893 (use-after-free) pode levar à execução de código, de acordo com Consultoria da VMware.

“Um ator mal-intencionado com acesso de rede ao vCenter Server pode explorar esse problema para executar código arbitrário no sistema operacional subjacente que hospeda o vCenter Server”, observa a VMware para ambos.

O próximo da fila é CVE-2023-20894um bug de gravação fora dos limites explorável remotamente que pode ser acionado por meio de pacotes especialmente criados para causar corrupção de memória.

A quarta vulnerabilidade, CVE-2023-20895é uma falha de corrupção de memória que pode ser explorada pela rede para ignorar a autenticação.

As atualizações da VMware também abordam uma vulnerabilidade de leitura fora dos limites de gravidade importante que um ator mal-intencionado pode explorar remotamente para causar uma condição de negação de serviço (DoS) em serviços como vmcad, vmdird e vmafdd.

Patches para todas as falhas foram incluídos no vCenter Server e nas versões Cloud Foundation 8.0 U1b e 7.0 U3m. VMware também lançou patches assíncronos para clientes VCF.

O vCenter Server é um software avançado de gerenciamento de servidor para entrega de infraestrutura virtual na nuvem híbrida. O dispositivo está incluído nos produtos vSphere e Cloud Foundation.

A VMware recomenda que todos os clientes atualizem para uma versão corrigida dos produtos afetados, observando que não há solução alternativa para nenhuma dessas vulnerabilidades. A empresa diz que não tem conhecimento de nenhuma dessas falhas sendo exploradas na natureza.

:

:

Apaixonado por tecnologia e inovação, traz notícias do seguimento que atua com paixão há mais de 15 anos.