Fix für kritische VMWare vCenter Server-Schwachstelle CVE-2020-3952

[English]Im VMWare vCenter Server gibt es eine kritische Schwachstelle CVE-2020-3952, für die der Hersteller jetzt ein Sicherheitsupdate veröffentlicht hat.


Anzeige

vCenter Server ermöglicht IT-Administratoren die zentrale Verwaltung virtualisierter Hosts und virtueller Maschinen in Unternehmensumgebungen über eine einzige Konsole. Die U.S. Cybersecurity and Infrastructure Security Agency (CISA) hat zum 10. April 2020 eine Sicherheitswarnung bezüglich dieses Produkts herausgegeben. In der Sicherheitswarnung wird auf das VMware Security Advisory VMSA-2020-0006 hingewiesen.

Schwachstelle CVE-2020-3952

Die Schwachstelle CVE-2020-3952 im VMware vCenter Server wurde dem Hersteller privat von einem Sicherheitsforscher mitgeteilt und wird inzwischen mit dem CVE-Index von 10 (höchster möglicher Wert) bewertet. Das Problem: vmdir, das mit VMware vCenter Server als Teil eines eingebetteten oder externen Platform Services Controller (PSC) ausgeliefert wird, implementiert unter bestimmten Bedingungen Zugriffskontrollen nicht korrekt.

Ein Angreifer mit Netzwerkzugriff auf eine betroffene vmdir-Instanz ist dadurch möglicherweise in der Lage, hochsensible Informationen zu extrahieren. Diese könnten zur Kompromittierung von vCenter Server oder anderen Diensten verwendet werden, wenn dieser zur Authentifizierung von vmdir abhängig sind.

Was ist betroffen?

Betroffen von der Schwachstelle CVE-2020-3952  sind vCenter Server 6.7 (embedded or external PSC) vor 6.7u3f, wenn er von einer früheren Release-Linie wie 6.0 oder 6.5 aktualisiert wurde. Eine saubere Neuinstallationen von vCenter Server 6.7 (eingebettete oder externe PSC) sind nicht betroffen.

VMware hat den KB-Artikel 78543 mit Hinweisen veröffentlicht, wie man feststellen kann, ob eine Installation von der Schwachstelle betroffen ist. VMware empfiehlt ein Upgrade auf den vCenter Server 6.7u3f. Weitere Details finden sich im VMware Security Advisory VMSA-2020-0006. (via)


Anzeige


Dieser Beitrag wurde unter Sicherheit, Software, Update, Virtualisierung abgelegt und mit , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.