VMware ออกแพตช์ช่องโหว่ RCE บน vCenter Server

VMware ออกแพตช์ช่องโหว่ Remote Code Execution(RCE) ใหม่ บน VMware vCenter Server ผู้ดูแลระบบควรแพตช์โดยด่วน

Credit:alexmillos/ShutterStock

VMware ออกแพตช์ความปลอดภัยใหม่ อุดช่องโหว่ที่เกิดขึ้นบน VMware vCenter Server ใหม่จำนวน 3 ตัว ดังนี้

  • CVE-2024-37079: ช่องโหว่ Heap-overflow ความรุนแรงระดับ 9.8 (Critical) เกิดขึ้นบนโปรโตคอล DCERPC ทำให้ผู้โจมตีสามารถทำ Remote Code Execution ได้ผ่านการส่ง Packet ที่สร้างขึ้นมาแบบพิเศษ
  • CVE-2024-37080: ช่องโหว่ Heap-overflow ความรุนแรงระดับ 9.8 (Critical) เกิดขึ้นบนโปรโตคอล DCERPC เช่นเดียวกัน ทำให้ผู้โจมตีสามารถทำ Remote Code Execution ได้ผ่านการส่ง Packet ที่สร้างขึ้นมาแบบพิเศษ
  • CVE-2024-37081: ช่องโหว่ความรุนแรงระดับ 7.8 (High) แก้ไขการตั้งค่าที่ผิดพลาดของคำสั่ง sudo บน vCenter Server ทำให้ผู้โจมตีที่ยืนยันตัวตนเป็น local user สามารถยกระดับสิทธิเป็น root บน vCenter Server Appliance ได้

ช่องโหว่ทั้งหมดกระทบ VMware vCenter Server เวอร์ชัน 7.0 และ 8.0 รวมถึง VMware Cloud Foundation เวอร์ชัน 4.x และ 5.x ผู้ดูแลระบบควรอัปเดตไปใช้งาน VMware vCenter Server เวอร์ชัน 8.0 U2d, 8.0 U1e, และ 7.0 U3r และ VMware Cloud Foundation แพตช์ KB88287 เพื่อแก้ไขปัญหา เนื่องจากยังไม่มี Workaround ในการแก้ไข อย่างไรก็ตาม VMware ยังไม่ได้รับรายงานการโจมตีจากช่องโหว่ดังกล่าว

ที่มา: Bleeping Computer

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่สหรัฐอเมริกา แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

Meta เตรียมปล่อยโมเดล AI รุ่นใหม่ เพิ่มความสามารถด้าน Coding หวังชน GPT-5.5

Meta เตรียมปล่อยโมเดล AI รุ่นใหม่ที่พัฒนาต่อยอดจาก Muse Spark โดย Alexandr Wang Chief AI Officer ของ Meta เปิดเผยผ่านแพลตฟอร์ม …

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …