Опубликован эксплойт к недавно пропатченной RCE-уязвимости в VMware NSX

Опубликован эксплойт к недавно пропатченной RCE-уязвимости в VMware NSX

Опубликован эксплойт к недавно пропатченной RCE-уязвимости в VMware NSX

В VMware проверили и подтвердили информацию о том, что в Сети появился рабочий эксплойт к только что закрытой критической уязвимости в платформе сетевой виртуализации NSX Data Center for vSphere (NSX-V). Тем, кто еще не установил патч, настоятельно рекомендуется сделать это в кратчайшие сроки.

Уязвимость NSX, о которой идет речь (CVE-2021-39144), связана с использованием opensource-библиотеки XStream для сериализации входных данных. Успешный эксплойт, согласно бюллетеню VMware, позволяет удаленно выполнить код с привилегиями root.

Проблема актуальна для всех прежних версий NSX-V (срок поддержки истек в середине января) и затрагивает также бандлы VMware Cloud Foundation (VCF) с такой составляющей. Степень опасности для VCF-сред VMware оценила в 9,8 балла по CVSS.

Ввиду серьезности угрозы разработчики залатали уязвимый компонент (NSX Manager — сервер, через который осуществляется взаимодействие с NSX) и включили заплатку в состав обновления NSX-V 6.4.14. Инструкции по патчингу NSX-V в средах Cloud Foundation 3.x приведены в KB89809. Процесс можно упростить, выполнив апгрейд VCF до версии 3.11.0.1 (вышла в апреле).

Когда стало известно о создании и сливе эксплойта, вендор обновил бюллетень, посвященный CVE-2021-39144, чтобы подстегнуть нерасторопных пользователей. Опубликован также FAQ, в котором сказано, что при успешной отработке эксплойта злоумышленник с сетевым доступом к NSXv-менеджеру сможет захватить контроль над этим центром управления инфраструктурой.

Зарплаты и пенсии не загонят в цифровой рубль, заявила Набиуллина

Глава Банка России Эльвира Набиуллина попыталась сбить градус паники вокруг цифрового рубля. По её словам, страшилки о том, что всех бюджетников и пенсионеров якобы переведут на новую форму денег принудительно, — это абсурд.

В разговоре с журналисткой Наилей Аскер-заде на полях Финансового конгресса ЦБ в Санкт-Петербурге Набиуллина признала, что вокруг цифрового рубля действительно много мифов. Но, по её словам, так бывает почти с любой новой финансовой технологией.

Глава ЦБ напомнила, что похожие опасения когда-то возникали вокруг карт «Мир» и Системы быстрых платежей. Сейчас, как отметила Набиуллина, люди уже активно пользуются этими инструментами и ценят их удобство.

Главный тезис регулятора — цифровой рубль не должен стать обязаловкой. Пользователь сможет сам выбрать, в какой форме получать деньги: наличными, на обычный банковский счёт или в цифровых рублях.

«У вас будет выбор пользоваться или не пользоваться цифровым рублём», — подчеркнула Набиуллина.

По её словам, у Банка России нет задачи просто насыпать побольше цифровых рублей в экономику ради красивой статистики. Новый инструмент должен применяться там, где он действительно будет востребован.

ЦБ видит потенциал цифрового рубля прежде всего в расчетах бизнеса и международных платежах. При этом регулятор хочет сделать инструмент понятным, удобным и выгодным как для граждан, так и для компаний.

RSS: Новости на портале Anti-Malware.ru