VMware, ESXi, Workstation, Fusion, vRealize Network Insight ve Cloud Foundation ürünlerini etkileyen kritik zafiyetler için güncelleme yayınladı.
Güvenlik açığı aşağıdaki ürünleri etkiliyor:
ESXi 8.0 (fixed in ESXi 8.0a-20842819)
ESXi 7.0 (fixed in 7.0U3i-20842708)
Fusion 12.x (fixed in 12.2.5)
Workstation 16.x (fixed in 16.2.5)
Cloud Foundation 4.x/3.x (fixed in KB90336)VMware Fusion 13.x ve Workstation 17.x zafiyetten etkilenmiyor.
CVE-2022-31705, USB 2.0 denetleyicide (EHCI) olduğundan, güvenlik güncellemesini uygulayamayanlar için önerilen geçici çözüm, USB denetleyiciyi instance’dan kaldırmak.
VMware Workstation ve VMware Fusion için aşağıdaki adımları izleyebilirsiniz.
Fusion için:
Select Window > Virtual Machine Library
Select a virtual machine in the Virtual Machine Library window and click Settings.
Under Removable Devices in the Settings window, click USB & Bluetooth.
Under Advanced USB options, click Remove USB Controller.
Click Remove in the confirmation dialog box.Workstation için:
Select a virtual machine in the Library pane and select VM > Settings.
On the Virtual Machine Settings dialog, go to the Hardware tab.
Select the USB Controller entry and click RemoveCVE-2022-31702 olarak izlenen diğer bir zafiyet ise vRealize Network Insight 6.2 ila 6.7 sürümlerinin vRNI REST API’sine komut enjeksiyonuna izin veriyor. CVE-2022-31703 ise RCE izin veriyor ve kritiklik seviyesi yüksel olarak belirtilmiş durumda.
VMware vRealize Network Insight 6.8.0 bu güvenlik açıklarından etkilenmiyor.
Bu zafiyetleri gidermek için herhangi bir geçici çözüm bulunmıyor, bu nedenle mevcut olan en son sürüme yükseltmeniz öneriliyor.
Kaynak: bleepingcomputer.com
