Vmware

VMware a publié des mises à jour de sécurité pour plusieurs produits afin de remédier à une vulnérabilité critique qui pourrait être exploitée pour accéder à des informations confidentielles.

Suivi comme CVE-2021-22002 (score CVSS : 8,6) et CVE-2021-22003 (score CVSS : 3,7), les failles affectent VMware Workspace One Access (Access), VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation et vRealize Suite Lifecycle Manager.

Équipes De Débordement De Pile

CVE-2021-22002 concerne un problème avec la façon dont VMware Workspace One Access et Identity Manager permettent à l’application Web « /cfg » et aux points de terminaison de diagnostic d’être accessibles via le port 443 en falsifiant un en-tête d’hôte, ce qui entraîne une demande côté serveur.

« Un acteur malveillant avec un accès réseau au port 443 pourrait falsifier les en-têtes de l’hôte pour faciliter l’accès à l’application Web /cfg, de plus un acteur malveillant pourrait accéder aux points de terminaison de diagnostic /cfg sans authentification », a déclaré la société. mentionné dans son avis. Suleyman Bayir de Trendyol a été crédité d’avoir signalé la faille.

Vmware

VMware a également corrigé une vulnérabilité de divulgation d’informations affectant VMware Workspace One Access et Identity Manager via une interface de connexion exposée par inadvertance sur le port 7443. Un attaquant disposant d’un accès réseau au port 7443 pourrait potentiellement lancer une attaque par force brute, ce que la société a noté :  » peut ou non être pratique en fonction de la configuration de la politique de verrouillage et de la complexité du mot de passe pour le compte cible. »

Publicité
Empêcher Les Attaques De Ransomware

Pour les clients qui ne peuvent pas mettre à niveau vers la dernière version, VMware propose un script de contournement pour CVE-2021-22002 qui peut être déployé indépendamment sans mettre les appliances vRA hors ligne. « La solution de contournement désactive la possibilité de résoudre la page de configuration de vIDM. Ce point de terminaison n’est pas utilisé dans les environnements vRA 7.6 et n’aura aucun impact sur les fonctionnalités », a déclaré la société.


Rate this post
Publicité
Article précédentClôture de la date de fin de « Fortnite Chapitre 2 Saison 7 » ; Apprenez quand commence le chapitre 2 de la saison 8
Article suivantMegaton Musashi de Level-5 pour PS4, Switch et les animes associés obtiennent la date de sortie et les bandes-annonces japonaises
Avatar De Violette Laurent
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici