Haavoittuvuuksia VMwaren tuotteissa

VMware vRealize Log Insight, NSX ja vCNS tuotteista on korjattu haavoittuvuuksia, jotka voivat mahdollistaa cross-site scripting -hyökkäyksen tai luottamuksellisen tiedon hankkimisen.

VMware vRealize Log Insight -tuotteesta on korjattu haavoittuvuuksia, jotka voivat mahdollistaa pysyvän tai reflektoidun cross-site scripting (XSS)-hyökkäyksen suorittamisen. Näitä haavoittuvuuksia hyväksikäyttämällä hyökkääjän voi onnistua kaappaamaan tunnistautuneen käyttäjän session.

VMware NSX ja vCNS -tuotteissa, joissa on SSL-VPN käytössä, on korjattu kriittinen syötteentarkistushaavoittuvuus. Haavoittuvuus voi paljastaa hyökkääjälle luottamuksellista tietoa.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Palvelimet ja palvelinsovellukset
  • Verkon aktiivilaitteet
Lisätietoa +

Hyökkäystapa

  • Ilman kirjautumista
  • Etäkäyttö
  • Ilman käyttäjän toimia
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Käyttövaltuuksien laajentaminen
  • Luottamuksellisen tiedon hankkiminen
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Korjaava ohjelmistopäivitys
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

  • VMware vRealize Log Insight 3.x
  • VMware vRealize Log Insight 2.x
  • NSX Edge 6.2
  • NSX Edge 6.1
  • vCNS Edge 5.5

Ratkaisu- ja rajoitusmahdollisuudet:

Päivitä ohjelmistot valmistajan ohjeiden mukaisesti vähintään seuraaviin versioihin:

  • VMware vRealize Log Insight 3.3.2
  • NSX Edge 6.2.3
  • NSX Edge 6.1.7
  • vCNS Edge 5.5.4.3

Lisätietoa:

http://www.vmware.com/security/advisories/VMSA-2016-0008.htm

http://www.vmware.com/security/advisories/VMSA-2016-0007.html

Päivityshistoria

Asiasanat: Tietoturva , Haavoittuvuudet

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248