VMware подготовила патч для критической уязвимости в vCenter Server

VMware подготовила патч для критической уязвимости в vCenter Server

Компания VMware выпустила обновления, устраняющие критическую уязвимость в продукте vCenter Server, предназначенном для управления виртуальными машинами. В случае эксплуатации брешь позволяет выполнить вредоносный код удалённо.

Багу присвоили идентификатор CVE-2023-34048 и дали 9,8 балла по шкале CVSS. Согласно описанию, это проблема записи за пределами границ, затрагивающая имплементацию протокола DCE/RPC.

«Условный злоумышленник с сетевым доступом к vCenter Server может вызвать запись за пределами границ и выполнить код удалённо», — пишет VMware в уведомлении.

Григорий Дороднов из команды Trend Micro Zero Day Initiative обнаружил CVE-2023-34048 и сообщил о ней разработчикам. В настоящий момент единственный выход для всех затронутых пользователей — установить обновления. Они доступны для:

  • VMware vCenter Server 8.0 (8.0U1d или 8.0U2)
  • VMware vCenter Server 7.0 (7.0U3o)
  • VMware Cloud Foundation 5.x и 4.x

Девелоперы также выкатили апдейты для vCenter Server 6.7U3, 6.5U3 и VCF 3.x, учитывая степень опасности бага.