Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
VMware flickt drei Sicherheitslücken am Patch Tuesday im Dezember
27. Dezember 2022. TuxCare PR Team
VMware hat im Rahmen des diesjährigen Patch Tuesday Patches für eine Reihe von Schwachstellen veröffentlicht, darunter auch für den Escape-Fehler CVE-2022-31705, der beim Hacking-Wettbewerb GeekPwn 2022 ausgenutzt wurde.
VMWare stufte diese Schwachstelle mit einem CVSS-Schweregrad von 9,3/10 ein und wies darauf hin, dass ein böswilliger Akteur mit lokalen Administratorrechten auf einer virtuellen Maschine diese Schwachstelle ausnutzen könnte, um Code als VMX-Prozess der virtuellen Maschine auf dem Host auszuführen.
Die VM-Escape-Schwachstelle, dokumentiert als CVE-2022-31705, wurde von Ant Security-Forscher Yuhao Jiang auf Systemen ausgenutzt, auf denen vollständig gepatchte VMware Fusion-, ESXi- und Workstation-Produkte laufen.
"Auf ESXi ist der Angriff auf die VMX-Sandbox beschränkt, während er auf Workstation und Fusion zur Codeausführung auf dem Rechner führen kann, auf dem Workstation oder Fusion installiert ist", so VMware.
Das wichtige Sicherheitsupdate mit einem CVSS-Wert von 7.2 behebt zwei Sicherheitslücken (CVE-2022-31700, CVE-2022-31701) in VMware Workspace ONE Access and Identity Manager. CVE-2022-31700 ist eine authentifizierte RCE-Schwachstelle mit einem CVSS-Wert von 7.2, während CVE-2022-31701 ein Fehler in der Authentifizierung mit einem Schweregrad von 5.3 ist.
Die von der Sicherheitslücke betroffenen Produkte sind;
ESXi 8.0 (behoben in ESXi 8.0a-20842819) (behoben in ESXi 8.0a-20842819)
ESXi 7.0 (behoben in 7.0U3i-20842708) (behoben in 7.0U3i-20842708)
Fusion Version 12.x (behoben in 12.2.5)
16.x Workstation (behoben in 16.2.5)
4.x/3.x Cloud Foundation (behoben in KB90336)
VMware hat außerdem eine Sicherheitsanfälligkeit durch Befehlsinjektion und Directory Traversal behoben, die beide als CVE-2022-31702 31702 verfolgt werden. Dabei handelt es sich um eine Sicherheitsanfälligkeit mit kritischem Schweregrad (CVSS v3: 9.8) in der vRNI REST API von vRealize Network Insight Versionen 6.2 bis 6.7, die eine Befehlsinjektion ermöglicht. Und CVE-2022-31703, eine Directory Traversal-Schwachstelle mit niedrigem Schweregrad (CVSS v3: 7.5), die es einem Bedrohungsakteur ermöglicht, beliebige Dateien vom Server zu lesen.
Zu den Quellen für diesen Beitrag gehört ein Artikel in SecurityAffairs.
