VMware: Kritische Schwachstelle in Produkten wie Workspace One etc.

[English]Der Anbieter von Virtualisierungslösungen, VMware, hat eine Warnung zu einer kritischen Schwachstelle in diversen Linux- und Windows-Produkten herausgegeben. Einen Patch gibt es noch nicht, lediglich Workarounds.


Anzeige

Die Sicherheitswarnung VMSA-2020-0027 vom 23.11.2020 ist mir bereits Montag unter die Augen gekommen. In verschiedenen Produkten gibt es eine VMware privat gemeldet Command Injection-Schwachstelle. Ein böswilliger Akteur mit Netzwerkzugriff auf den administrativen Konfigurator auf Port 8443 und einem gültigen Passwort für das Administratorkonto des Konfigurations-Panels kann Befehle mit uneingeschränkten Privilegien auf dem zugrunde liegenden Betriebssystem (Linux oder Windows) ausführen.

Die Schwachstelle CVE-2020-4006 lässt sich sowohl unter Linux als auch unter Windows ausnutzen und wird daher mit einem CVSSv3-Wert von 9.1 (max. 10) bewertet, ist also äußerst kritisch. Laut VMware betrifft es folgende Produkte:

  • VMware Workspace One Access (Access)
  • VMware Workspace One Access Connector (Access Connector)
  • VMware Identity Manager (vIDM)
  • VMware Identity Manager Connector (vIDM Connector)
  • VMware Cloud Foundation
  • vRealize Suite Lifecycle Manager

Aktuell gibt es keine Updates, um diese Schwachstelle zu schließen. Für die Produkte VMware Workspace One Access, VMware Identity Manager und VMware Identity Manager Connector gibt es aber Workarounds für Linux und Windows, um die Ausnutzung der Schwachstelle zu verhindern. Die Workarounds dürfen nur auf die nachfolgend aufgeführten Produkte und Versionen ausgeführt werden.

  • Mware Workspace One Access    20.10 (Linux)
  • VMware Workspace One Access    20.01 (Linux)
  • VMware Identity Manager    3.3.3 (Linux)
  • VMware Identity Manager    3.3.2 (Linux)
  • VMware Identity Manager    3.3.1 (Linux)
  • VMware Identity Manager Connector 3.3.2, 3.3.1 (Linux)
  • VMware Identity Manager Connector 3.3.3, 3.3.2, 3.3.1 (Windows)

Der Nachteil des Workarounds: Dieser legt das Konfigurationspanel still, so dass es nicht mehr für einen Angriff genutzt werden kann. Wann Sicherheitsupdates freigegeben werden, steht aktuell noch nicht fest.

Ähnliche Artikel:
VMware: Produkt- und Sicherheits-Updates (Nov. 2020)
VMware bestätigt Hänger bei ESXi 6.5 Update 3 und 6.7 Update 3
VMware fixt kritische Workstation und Fusion Schwachstellen
Update des VMware OS Optimization Tool (VMware Horizon)
Schwachstellen in VMware Cloud Director


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Software, Virtualisierung abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.