VMWare بروزرسانیهایی را برای محصولات Workstation، Fusion و ESXi منتشر کرده است تا یک آسیبپذیری امنیتی مهم را برطرف کند که میتواند توسط یک مهاجم برای کنترل سیستمهای آسیبدیده مورد استفاده قرار گیرد.
این مشکل به یک آسیبپذیری heap-overflow مربوط میشود که با شناسه CVE-2021-22045 (امتیاز CVSS: 7.7) ردیابی میشود و در صورت بهرهبرداری موفقیتآمیز، منجر به اجرای کد دلخواه میشود.
این شرکت Jaanus Kääp محقق امنیتی Clarified Security را مسئول گزارش این نقص معرفی کرد.
VMware در اطلاعیهای که در ۴ ژانویه منتشر شد، گفت: مهاجم با دسترسی به یک ماشینمجازی با شبیهسازی دستگاه CD-ROM ممکن است بتواند از این آسیبپذیری برای اجرای کد روی Hypervisor یک ماشینمجازی استفاده کند.
این نقص بر روی ESXi نسخههای ۶.۵، ۶.۷ و ۷.۰ تأثیر میگذارد. این شرکت هنوز برای نسخههای Workstation 16.x و نسخههای Fusion 12.x، در ESXi 7.0 وصلهای منتشر نکرده است.
در این میان این شرکت به کاربران خود توصیه میکند که از طریق روش زیر تمام دستگاههای CD-ROM/DVD را در همه ماشینهای مجازی در حال اجرا غیرفعال کنند تا از هرگونه سوءاستفاده احتمالی جلوگیری شود:
- با استفاده از vSphere Web Client به سیستم سرور vCenter وارد شوید.
- روی ماشینمجازی کلیک راست کرده و روی Edit Settings کلیک کنید.
- درایو CD/DVD را انتخاب کنید و تیک “Connected” و “Connect at power on” را بردارید و ISOهای پیوست شده را حذف کنید.
یک نظر