VMware ออก Patch อุดช่องโหว่บน VMware NSX, vCNS และ vRealize Log Insight

สำหรับผู้ที่ใช้งาน VMware NSX, VMware vCloud Networking and Security (vCNS) และ VMware vRealize Log Insight นั้นอาจต้องเตรียมวางแผน Patch กันแล้ว โดย VMware ได้ออก Security Advisory สำหรับผลิตภัณฑ์เหล่านี้ดังต่อไปนี้

Credit: alexmillos/ShutterStock
Credit: alexmillos/ShutterStock

สำหรับ VMware NSX และ VMware vCNS นั้นมีช่องโหว่ร้ายแรงในการทำ Input Validation ในฟีเจอร์การทำ SSL-VPN ซึ่งทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่เป็นความลับของระบบได้ โดยทางแก้คือการอัพเกรดมาใช้ NSX Edge 6.2.3/6.1.7 หรือ vCNS Edge 5.5.4.3 แทน

ส่วน VMware vRealize Log Insight นั้นก็มีช่องโหว่ที่เปิดให้โจมตีด้วยการทำ Cross-Site Scripting (XSS) ได้ และช่องโหว่นี้ก็อาจนำไปสู่การ Hijack Session ของผู้ใช้งานได้ โดยผู้ใช้งานต้องทำการแก้ไขด้วยการอัพเกรดไปใช้ VMware vRealize Log Insight รุ่น 3.3.2 แทนเท่านั้น

ที่มา: http://blogs.vmware.com/security/2016/06/new-vmware-security-advisories-vmsa-2016-0007-and-vmsa-2016-0008.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[รีวิว] Plantronics Voyager 5200 UC สุดยอดหูฟัง Bluetooth สำหรับการโทรศัพท์และประชุมงานจาก Poly

ในช่วงที่ต้อง Work from Home กันท่ามกลางสถานการณ์วิกฤตโรคระบาดครั้งนี้ ทางทีมงาน Poly ก็ได้ส่งหูฟังรุ่นเรือธงสำหรับคนทำงานอย่าง Plantronics Voyager 5200 UC มาให้ทีมงาน TechTalkThai เราได้ทดลองใช้งานกัน ซึ่งก็ถือว่าค่อนข้างประทับใจทีเดียวครับสำหรับการทดสอบการใช้งานในครั้งนี้ จึงขอหยิบมารีวิวกันอย่างละเอียด เผื่อว่าธุรกิจองค์กรแห่งใดที่กำลังวางแผนการทำ Hybrid Work อย่างเต็มตัวจะได้ลองซื้อไปให้พนักงานในบริษัทได้ใช้งานกันครับ

ไมโครซอฟท์แนะนำขั้นตอนเดียวสุดง่ายแต่ช่วยลดความเสี่ยงถูกแฮ็กบัญชีได้ถึง 99.9%

เหตุการณ์ระบาดของ COVID-19 ทั่วโลกได้ส่งผลกระทบในแง่ของระบบรักษาความปลอดภัยด้วยเช่นกัน ซึ่งเราได้พบว่าเหล่าแฮ็กเกอร์ก็อาศัยเหตุการณ์นี้สร้างรูปแบบการโจมตีใหม่ๆ ขึ้นมา ด้วยการมุ่งเป้าไปที่พนักงานในองค์กร ยูสเซอร์ทั่วไป หรือคนที่ไม่ได้เชี่ยวชาญไอทีมากนัก ด้วยการใช้เทคนิคอย่าง Phishing, credential harvesting และ trojanized payloads …