انتشار وصله VMware برای یک آسیب‌پذیری Zero-Day گزارش شده توسط NSA

VMware برای رفع آسیب‌پذیری روز صفر در VMware Workspace One Access ،Access Access ،Identity Manager و Identity Manager Connector، به روزرسانی‌های امنیتی منتشر کرده است.
این آسیب‌پذیری یک اشکال تزریق دستور (command injection) است که با شناسه CVE-2020-4006 پیگیری می‌شود و دو هفته پیش به صورت عمومی منتشر شده است.
در صورت استفاده موفقیت‌آمیز، این آسیب‌پذیری مهاجمان را قادر می‌سازد تا امتیازات خود را افزایش دهند و دستورات را در سیستم‌عامل‌های لینوکس و ویندوز میزبان اجرا کنند.

لیست کامل نسخه‌های محصول VMware تحت تأثیر این آسیب‌پذیری Zero-Day:

  • (VMware Workspace One Access 20.01, 20.10 (Linux
  • (VMware Identity Manager (vIDM) 3.3.1 up to 3.3.3 (Linux
  • (VMware Identity Manager Connector (vIDM Connector) 3.3.1, 3.3.2 (Linux
  • (VMware Identity Manager Connector (vIDM Connector) 3.3.1, 3.3.2, 3.3.3 / 19.03.0.0, 19.03.0.1 (Windows

در حالی که در ابتدا این شرکت هویت سازمان یا محققی را که این آسیب‌پذیری را گزارش کرده بود فاش نکرد، VMware به سهم سازمان اطلاعاتی وزارت دفاع ایالات متحده در به روزرسانی مشاوره در روز پنجشنبه اعتراف کرد.
VMware همچنین امتیاز CVSSv3 این اشکال را به ۷.۲ / ۱۰ و درجه شدت را از “بحرانی” به “مهم” کاهش داد.
CVE-2020-4006 در تنظیمات اداری برخی نسخه های VMware Workspace ONE Access ،Access Access ،Identity Manager و Identity Manager Connector وجود دارد.


دوست داشتید؟ لطفا با دوستان خود به اشتراک بگذارید.

73

یک نظر

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *