Naslovnica
»
Sigurnosne objave » Kritična ranjivost udaljenog izvršavanja koda u VMware vCenter Serveru
Kritična ranjivost udaljenog izvršavanja koda u VMware vCenter Serveru
Dana 17. rujna 2024., tvrtka Broadcom je izdala zakrpu za kritičnu ranjivost u VMware vCenter Serveru, identificiranu kao CVE-2024-38812, koja omogućuje udaljeno izvršavanje kôda (engl. remote code execution - RCE) putem posebno oblikovanog mrežnog paketa.
Tehnički detalji značajnih ranjivosti otklonjenih ovim ažuriranjem:
- Kritična ranjivost CVE-2024-38812 uzrokovana je ranjivošću prelijevanja međuspremnika odnosno alociranog bloka memorije (engl. heap overflow) u implementaciji DCE/RPC protokola u vCenter Serveru. Što omogućuje neautentificiranom napadaču udaljeno izvršavanje proizvoljnog kôda bez interakcije korisnika.
- Druga ranjivost visoke razine rizika, CVE-2024-38813, omogućuje eskalaciju privilegija na root razinu putem posebno oblikovanih mrežnih paketa.
Zahvaćeni proizvodi:
- VMware vCenter Server 7.0 (u trenutku pisanja objave ispravljena verzija 7.0 U3s) i 8.0 (u trenutku pisanja objave ispravljena verzija 8.0 U3b)
- VMware Cloud Foundation 4.x (u trenutku pisanja objave ispravljeno u asinkronoj zakrpi za 7.0 U3s) i 5.x (u trenutku pisanja objave ispravljeno u asinkronoj zakrpi za 8.0 U3b).
Preporuke:
Preporučuje se žurno ažuriranje zahvaćenih proizvoda na najnovije dostupne službene VMware objavljene sigurnosne ispravke.
Više informacija moguće je pročitati na poveznicama u nastavku:
- https://www.bleepingcomputer.com/news/security/broadcom-fixes-critical-rce-bug-in-vmware-vcenter-server/
- https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24968
- https://thehackernews.com/2024/09/patch-issued-for-critical-vmware.html
[inicijalna objava: 19.9.2024 - 09:19]
Normativni akti
- Ustav Republike Hrvatske
- Strategija nacionalne sigurnosti
- Zakon o sustavu domovinske sigurnosti
- Zakon o sigurnosno-obavještajnom sustavu RH
- Zakon o tajnosti podataka
- Zakon o informacijskoj sigurnosti
- Uredba o mjerama informacijske sigurnosti
- Nacionalna strategija kibernetičke sigurnosti i Akcijski plan za provedbu Nacionalne strategije kibernetičke sigurnosti
- Zakon o provedbi Uredbe (EU) 2019/881 Europskog parlamenta i Vijeća od 17. travnja 2019. (Zakon o provedbi kibernetičke sigurnosne certifikacije)
- Zakon o kibernetičkoj sigurnosti
- Odluka o provedbi Odluke br. 1104/2011/EU Europskog parlamenta i Vijeća od 25. listopada 2011. o pravilima za pristup javno reguliranoj usluzi koju pruža globalni navigacijski satelitski sustav uspostavljen u sklopu programa Galileo
- Smjernice za postupanje s neklasificiranim podacima