VMware paikas uuendusega kriitilise turvanõrkuse CVE-2023-20858, mis mõjutab Carbon Black App Control nimelist haldustarkvara, kirjutab riigi infosüsteemi amet blogis.
Haavatavus lubab ründajal, kellel on ligipääs tarkvara haldusliidesele, juurde pääseda operatsioonisüsteemile, millel tarkvara töötab.
Haavatavus mõjutab Windowsi operatsioonisüsteemile mõeldud VMware Carbon Black App Control tarkvara versioone 8.7.7 ja vanemaid, 8.8.5 ja vanemaid ning 8.9.3 ja vanemaid. Turvaviga on parandatud versioonides 8.9.4, 8.8.6 ja 8.7.8.
Kõikidel vastava tarkvara kasutajatel tuleks see uuendada esimesel võimalusel.
Cisco parandas kaks kõrge mõjuga haavatavust
Esimene haavatavus tähisega CVE-2023-20011 mõjutab APICi (Application Policy Infrastructure Controller) ja pilvevõrgukontrolleri haldusliidest. Ründaja, kes ei pea end sealjuures autentima, saab haavatavuse abil teostada CSRFi (cross-site request forgery) ründeid. See tähendab, et kui tarkvara kasutaja klikib talle saadetud pahaloomulisel lingil, on ründajal võimalik ligi pääseda mõjutatud süsteemile kompromiteeritud kasutaja õigustes.
Teine kõrge mõjuga haavatavus CVE-2023-20089 mõjutab Cisco Nexus 9000 ACI-režiimis olevaid võrgujaotureid ja selle abil on ründajal võimalik takistada haavatavate seadmete tavapärast tööd.
Tootjale teadaolevalt ei ole neid turvanõrkuseid seni siiski kuritarvitatud.
Ärigeeniuse uudised sinu postkastis Ärigeeniuse uudiskiri toob sinuni valiku nädala olulisematest äriteemadest, põnevad persoonilood ja ekspertide soovitused.
