[English]Der Anbieter von Virtualisierungslösungen, VMware, hat eine Warnung zu einer kritischen Schwachstelle in diversen Linux- und Windows-Produkten herausgegeben. Einen Patch gibt es noch nicht, lediglich Workarounds.
Anzeige
Die Sicherheitswarnung VMSA-2020-0027 vom 23.11.2020 ist mir bereits Montag unter die Augen gekommen. In verschiedenen Produkten gibt es eine VMware privat gemeldet Command Injection-Schwachstelle. Ein böswilliger Akteur mit Netzwerkzugriff auf den administrativen Konfigurator auf Port 8443 und einem gültigen Passwort für das Administratorkonto des Konfigurations-Panels kann Befehle mit uneingeschränkten Privilegien auf dem zugrunde liegenden Betriebssystem (Linux oder Windows) ausführen.
Die Schwachstelle CVE-2020-4006 lässt sich sowohl unter Linux als auch unter Windows ausnutzen und wird daher mit einem CVSSv3-Wert von 9.1 (max. 10) bewertet, ist also äußerst kritisch. Laut VMware betrifft es folgende Produkte:
- VMware Workspace One Access (Access)
- VMware Workspace One Access Connector (Access Connector)
- VMware Identity Manager (vIDM)
- VMware Identity Manager Connector (vIDM Connector)
- VMware Cloud Foundation
- vRealize Suite Lifecycle Manager
Aktuell gibt es keine Updates, um diese Schwachstelle zu schließen. Für die Produkte VMware Workspace One Access, VMware Identity Manager und VMware Identity Manager Connector gibt es aber Workarounds für Linux und Windows, um die Ausnutzung der Schwachstelle zu verhindern. Die Workarounds dürfen nur auf die nachfolgend aufgeführten Produkte und Versionen ausgeführt werden.
- Mware Workspace One Access 20.10 (Linux)
- VMware Workspace One Access 20.01 (Linux)
- VMware Identity Manager 3.3.3 (Linux)
- VMware Identity Manager 3.3.2 (Linux)
- VMware Identity Manager 3.3.1 (Linux)
- VMware Identity Manager Connector 3.3.2, 3.3.1 (Linux)
- VMware Identity Manager Connector 3.3.3, 3.3.2, 3.3.1 (Windows)
Der Nachteil des Workarounds: Dieser legt das Konfigurationspanel still, so dass es nicht mehr für einen Angriff genutzt werden kann. Wann Sicherheitsupdates freigegeben werden, steht aktuell noch nicht fest.
Anzeige
Ähnliche Artikel:
VMware: Produkt- und Sicherheits-Updates (Nov. 2020)
VMware bestätigt Hänger bei ESXi 6.5 Update 3 und 6.7 Update 3
VMware fixt kritische Workstation und Fusion Schwachstellen
Update des VMware OS Optimization Tool (VMware Horizon)
Schwachstellen in VMware Cloud Director
Anzeige