Domov      Nastavenia 
RSS English Slovensky

Aktuálne
Zahraničné zdroje
Nahlásené incidenty
1.1.2019 - 31.12.2019
 

Graf

Spoločnosť VMware vydala bezpečnostnú opravu XSS zraniteľnosti

13.05.2020
Spoločnosť VMware vydala bezpečnostnú opravu zraniteľnosti XSS (cross-site scripting) s vysokou závažnosťou v produkte VMware ESXi. Zraniteľnosť CVE-2020-3955 bola popísaná v bezpečnostnom odporúčaní VMSA-2020-0008 vydanom na oficiálnej stránke VMware. Ovplyvňuje verzie VMware ESXi 6.5 a 6.7. Zverejnená zraniteľnosť umožňuje útočníkovi vzdialene vykonať HTML kód alebo skript na zraniteľnej webstránke.

 

Dôsledky

  • Vykonávanie ľubovoľného HTML kódu a skriptov na webstránke klienta
  • Únik citlivých informácií
  • Vykonávanie phishingových útokov
  • Možný útok typu drive-by-download

Opis činnosti
CVE-2020-3955

V bezpečnostnom odporúčaní VMSA-2020-0008, ktoré vydala spoločnosť VMware bola predstavená zraniteľnosť CVE-2020-3955 prítomná v hypervízore ESXi verzie 6.5 a 6.7. Spoločnosť vydala opravnú aktualizáciu tejto chyby. Zraniteľnosť ovplyvňuje klientsky softvér produktu VMware ESXi, ktorý je zraniteľný voči útoku typu cross-site scripting (XSS). Jej úspešné zneužitie umožňuje útočníkovi ukradnúť citlivé informácie, zmeniť vzhľad webovej stránky, vykonávať phishingové útoky a donútiť obeť stiahnuť si škodlivý kód do zariadenia. Táto chyba je spôsobená nedostatočným ošetrením formátu vstupných údajov v ESXi klientovi. Útočník s prístupom k úprave systémových vlastností virtuálneho stroja je schopný vložiť do systému škodlivý skript. Ten sa vykoná v prehliadači obete pri prezeraní si atribútov napadnutého virtuálneho stroja prostredníctvom klienta ESXi. Znamená to, že útočník môže vložiť ľubovoľný HTML kód a skripty a vykonať ich v kontexte zraniteľnej stránky. Verzia ESXi 7.0 zraniteľná nie je.

Zraniteľné systémy
VMware ESXi verzie 6.5 a 6.7

Závažnosť zraniteľnosti
Vysoká

Možné škody
Únik informácií
Phishing Vzdialené vykonávanie kódu

Odporúčania

Bezodkladná aktulizácia z webstránky poskytovateľa služby.
Opravené verzie a poznámky k vydaniu:

VMware ESXi 6.7 ESXi670-202004103-SG

https://my.vmware.com/group/vmware/patch
https://docs.vmware.com/en/VMware-vSphere/6.7/rn/esxi670-202004002.html

VMware ESXi 6.5 ESXi650-201912104-SG

https://my.vmware.com/group/vmware/patch
https://docs.vmware.com/en/VMware-vSphere/6.5/rn/esxi650-201912002.html

Odkazy
https://www.vmware.com/security/advisories/VMSA-2020-0008.html
https://www.cybersecurity-help.cz/vdb/SB2020042914
https://www.us-cert.gov/ncas/current-activity/2020/04/29/vmware-releases-security-updates-esxi



<< zoznam oznámení