IBM Flashsystem

พบช่องโหว่ XSS บน vRealize สำหรับ Linux ฝั่ง VMware แนะ รีบอัพเดทแพทช์

vmware_logo

VMware ออกแพทช์อัพเดทเพื่ออุดช่องโหว่ Cross-site Scripting 2 รายการบน vRealize Cloud Software หลาย Edition ซึ่งช่วยให้แฮ็คเกอร์สามารถโจมตีแบบ Stored XSS เพื่อฝังสคริปต์หรือโค้ดบางอย่างลงบนเครื่องเซิฟเวอร์ของเหยื่อได้

ttt_bug_in_the_code-venimo
Credit: venimo/ShutterStock

ระบบที่มีช่องโหว่

ช่องโหว่ XSS ทั้ง 2 รายการเกิดจากความผิดพลาดในการตรวจสอบ Input บน VMware vRealize Automation เวอร์ชัน 6.x ก่อนเวอร์ชัน 6.2.4 และ vRealize Business Advanced and Enterprise เวอร์ชัน 8.x ก่อนเวอร์ชัน 8.2.5 สำหรับ Linux เท่านั้น เวอร์ชันอื่นๆ และเวอร์ชันสำหรับ Microsoft ไม่ได้รับผลกระทบแต่อย่างใด

รหัส CVE ที่เกี่ยวข้อง

  • ช่องโหว่บน VMware vRealize Automation: CVE-2015-2344
  • ช่องโหว่บน vRealize Business Advanced and Enterprise: CVE-2016-2075

ผลกระทบของช่องโหว่

ช่องโหว่ Stored XSS ที่เกิดขึ้น ช่วยให้ผู้ใช้ที่พิสูจน์ตัวตนเข้ามาจากระยะไกล (Remote Authenticated Users) สามารถแทรกโค้ด Web Script หรือ HTML ผ่านเข้ามาในระบบได้หลากหลายวิธี เนื่องจากซอฟต์แวร์ vRealize ไม่ได้ทำการคัดกรอง Input ที่มาจากผู้ใช้งานอย่างเหมาะสม ส่งผลให้เมื่อผู้ใช้งานปกติเปิดเว็บเบราเซอร์ จะทำให้โค้ดแปลกปลอมเหล่านั้นถูกรันด้วยสิทธิ์ของ System และเข้าถึงข้อมูลความลับบนเว็บเบราเซอร์ได้ทันที ไม่ว่าจะเป็น Cookies ที่ใช้พิสูจน์ตัวตน ข้อมูลที่เคย Submit ไป รวมไปถึงปลอมตัวเป็นผู้ใช้คนนั้นได้

อุดช่องโหว่ได้อย่างไร

VMware แนะนำใน Security Advisory ว่า ผู้ใช้เวอร์ชัน Linux ที่ได้รับผลกระทบ ให้อัพเดท vRealized Automation เป็นเวอร์ชัน 6.2.4 และ vRealize Business Advanced and Enterprise เป็นเวอร์ชัน 8.2.5

รายละเอียดเพิ่มเติม: https://www.vmware.com/security/advisories/VMSA-2016-0003.html

ที่มา: http://www.csoonline.com/article/3045441/security/vmware-fixes-xss-flaws-in-vrealize-for-linux.html

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เลอโนโวเร่งเสริมประสิทธิภาพให้องค์กรขึ้นอีกขั้นด้วยการขยายบริการ,โซลูชัน และแพลตฟอร์ม  ภายใต้ Hybrid AI Advantage [Press Release]

เลอโนโวเปิดตัวบริการใหม่ AI Adoption & Change Management Services เพื่อช่วยให้องค์กรสามารถนำเทคโนโลยี AI มาใช้งานได้อย่างราบรื่น สนับสนุนให้พนักงานปรับตัวเข้ากับการเปลี่ยนแปลง ช่วยเร่งกระบวนการปรับใช้ในระดับองค์กร และเพิ่มประสิทธิภาพในการสร้างผลตอบแทนจากการลงทุน (ROI) ออกแบบมาเพื่อเพิ่มปะสิทธิภาพการดำเนินงานในภาคการผลิต การบริการ โรงแรม และค้าปลีก ด้วยเทคโนโลยีที่ตอบโจทย์ความต้องการของแต่ละอุตสาหกรรม …

Extreme Networks : ปฏิวัติระบบเครือข่ายขององค์กรด้วย Network Fabric 

คุณกำลังเป็นแอดมินของระบบเครือข่ายที่ต้องใช้เวลาทั้งวันไปกับการแก้ไขปัญหาเครือข่ายอยู่หรือเปล่า แม้กระทั่งการเพิ่ม VLAN รายการเดียว ก็ต้องเสี่ยงถึงอุปกรณ์ Core Switch ที่ต้องทำแผนยุ่งยากและปฏิบัติการนอกเวลาปกติ รวมถึงปัญหาลูปน่าปวดหัวที่ยังคงมีอยู่ หากคุณยังคงปวดหัวกับปัญหาของระบบเครือข่ายที่มีแต่จะซับซ้อนเพิ่มขึ้นอย่างไม่จบสิ้น ลองมาทำความรู้จักกับแนวคิดของ Network Fabric ที่ถูกวางตัวให้เป็นรากฐานของระบบเครือข่ายในปัจจุบัน ซึ่ง …