VMware warnt vor Sicherheitslücken

VMware fordert seine Kunden auf, ihre Software zu aktualisieren, um kritische Schwachstellen zu beheben, einschließlich eines RCE-Bugs (Remote Code Execution) in Workspace ONE Access. Am Mittwoch veröffentlichte der Tech-Riese einen Sicherheitshinweis, in dem er vor Schwachstellen in seiner Unternehmenssoftware warnte. Betroffen sind die Produkte VMware Workspace ONE Access, VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation und vRealize Suite Lifecycle Manager.

Die erste Schwachstelle ist CVE-2022-22954, die sich auf VMware Workspace ONE Access und Identity Manager auswirkt. CVE-2022-22954 wird als serverseitige Template Injection RCE beschrieben und wurde mit einem CVSS Severity Score von 9.8 bewertet. Die Schwachstelle kann von Angreifern ausgenutzt werden, solange sie Zugang zum Netzwerk haben.

VMware hat außerdem Patches zur Behebung der Schwachstellen CVE-2022-22955 und CVE-2022-22956 entwickelt; beide wurden mit einem CVSS-Score von 9,8 bewertet und betreffen VMware Workspace ONE Access. Die Schwachstellen wurden im OAuth2 ACS Framework gefunden.

Nach Angaben des Anbieters kann ein böswilliger Akteur den Authentifizierungsmechanismus umgehen und beliebige Operationen aufgrund von exponierten Endpunkten im Authentifizierungs-Framework ausführen.

Zwei weitere Bugs, CVE-2022-22957 und CVE-2022-22958 (CVSS 9.1), wurden in Workspace ONE Access, Identity Manager und vRealize Automation behoben. Bedrohungsakteure könnten die Deserialisierung von nicht vertrauenswürdigen Daten über den JDBC-URI-Parameter auslösen, der Java-Anwendungen und ihre Datenbankverbindungen verwaltet, um einen RCE auszulösen. Allerdings müssen die Angreifer über administrative Rechte verfügen.

Das gleiche Software-Trio war auch anfällig für CVE-2022-22959 (CVSS 8.8), einen Cross-Site-Request-Forgery (CSRF)-Bug, der zur Validierung eines bösartigen JDBC-URIs verwendet werden kann.

VMware hat außerdem CVE-2022-22960 (CVSS 7.8), einen Fehler zur lokalen Privilegienerweiterung, und CVE-2022-22961 (CVSS 5.3), ein Informationsleck in Workspace ONE Access, Identity Manager und vRealize Automation, behoben. VMware hat keine Hinweise darauf gefunden, dass die Schwachstellen aktiv ausgenutzt werden.

Patches sind verfügbar, aber falls dies nicht möglich ist, hat der Hersteller auch Anleitungen zur Umgehung bereitgestellt, um das Angriffsrisiko zu mindern.

Weitere VMware-Nachrichten in diesem Monat betreffen das Open-Source-Framework SpringShell/Spring4Shell des Anbieters, eine kritische Schwachstelle im Kern der Software, die zur Remote-Code-Ausführung (RCE) ausgenutzt werden kann.

Spring4Shell wird als CVE-2022-22965 geführt und hat einen CVSS-Score von 8.1. Betroffen sind Tomcat-Servicer, die Spring MVC/WebFlux mit JDK 9+ einsetzen. Darüber hinaus betrifft die Sicherheitslücke auch VMware Tanzu Application Service for VMs, Tanzu Operations Manager und Tanzu Kubernetes Grid Integrated Edition.

ZDNet.de Redaktion

Recent Posts

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

4 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

5 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

5 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

5 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

7 Stunden ago

Internet-Tempo in Deutschland: Viel Luft nach oben

Höchste Zeit für eine schnelle Kupfer-Glas-Migration. Bis 2030 soll in Deutschland Glasfaser flächendeckend ausgerollt sein.

8 Stunden ago