VMware ออกแพตช์อุดช่องโหว่บน ESXi และ vRealize

VMware ออกแพตช์อุดช่องโหว่ระดับ Critical บน ESXi และ vRealize

ช่องโหว่ CVE-2022-31705 เป็นช่องโหว่ชนิด Heap out-of-bounds write มีคะแนน CVSS v3 อยู่ที่ 9.3/10 โดยเกิดขึ้นใน USB 2.0 controller (EHCI) บน ESXi 8.0/7.0, Fusion 12.x, Workstation 16.x และ Cloud Foundation 4.x/3.x ทำให้ผู้โจมตีสามารถรันคำสั่งใน VMX process ได้ ผู้ดูแลระบบสามารถอัพเกรดไปเป็น ESXi 8.0a-20842819, ESXi 7.0U3i-20842708, Fusion 12.2.5 และ Workstation 16.2.5 เพื่ออุดช่องโหว่ดังกล่าวได้แล้ว ส่วนผู้ที่ไม่สามารถแพตช์ได้ สามารถ Workaround ด้วยการลบ USB Controller ออกจาก Virtual Machine แทนได้เช่นกัน

นอกจากนี้ VMware ยังออกแพตช์อุดช่องโหว่ CVE-2022-31702 (CVSS v3: 9.8) ที่ทำให้เกิด Command injection ใน vRNI REST API ของ vRealize Network Insight เวอร์ชัน 6.2 ถึง 6.7 และช่องโหว่ CVE-2022-31703 (CVSS v3: 7.5) ที่มีความรุนแรงน้อยกว่า ปัจจุบันไม่มี Workaround สำหรับช่องโหว่นี้ ผู้ดูแลระบบควรแพตช์ไปใช้งาน vRealize Network Insight (vRNI) เวอร์ชัน 6.7 HF, 6.6 HF, 6.5.x HF, 6.4 HF, 6.3 HF และ 6.2 HF ส่วนผู้ที่ใช้งานเวอร์ชัน 6.8.0 นั้นไม่ได้รับผลกระทบจากช่องโหว่นี้แต่อย่างใด

ที่มา: https://www.bleepingcomputer.com/news/security/vmware-fixes-critical-esxi-and-vrealize-security-flaws/