VMWare udsender sikkerhedsopdateringer

Sårbarhederne påvirker VMware Aria Operations for Logs-produktet.

VMware har udgivet sikkerhedsopdateringer, der adresserer to kritiske sårbarheder.

Det fremgår af en advisory, som er udsendt af VMware.

Sårbarhederne har id’erne CVE-2023-20864 og CVE-2023-20865 og en CVSS-score på hhv. 9,8 og 7,2. De påvirker VMware Aria Operations for Logs-produktet, der tidligere havde navnet vRealize Log Insight.

  • CVE-2023-20864 er et ’deserialization’-problem, der kan udnyttes af en uautoriseret angriber med netværksadgang til VMware Aria Operations for Logs, til at afvikle vilkårlig kode med root-rettigheder.
  • CVE-2023-20865 er et ’injection’-problem, som kan udnyttes af en angriber med administrative rettigheder i Aria Operations for Logs, til at udføre vilkårlige kommandoer med root-rettigheder.

DKCERT anbefaler at opgradere i henhold til VMware' anbefalinger.

Links:

https://kb.vmware.com/s/article/91831

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-20864

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-20865