VMware schließt in mehreren Produkten Sicherheitslücken mit teilweise kritischem Risiko. Um Netzwerke vor erfolgreichen Cyberangriffen zu schützen, stehen für viele Produkte von VMware Aktualisierungen bereit, für einige müssen Administratoren jedoch manuell Gegenmaßnahmen ergreifen. Fehlerbehebungen gegen die Sicherheitslücken, die der kürzlich entdeckte Exploit Spring4Shell nutzt, sind unter anderem auch dabei.

Die Produkte VMware Tanzu Application Service for VMs (TAS), VMware Tanzu Operations Manager (Ops Manager) und VMware Tanzu Kubernetes Grid Integrated Edition (TKGI) (CVE-2022-22965, CVSS 9.8, kritisch) sind von der kürzlich entdeckten Lücke Spring4Shell, durch die Angreifer aus dem Netz bösartigen Code einschleusen könnten, betroffen. Dies ist auch den Sicherheitsmeldungen von Vmware zu entnehmen.

Weiterhin hat VMware zu weiteren Produkten eine Sicherheitsmeldung herausgegeben, da sie teils Lücken enthalten, die eine kritische Gefahr darstellen. VMware Workspace ONE Access, Identity Manager, vRealize Automation, Cloud Foundation und Suite Lifecycle Manager gibt der Hersteller an. Angreifer könnten unter anderem dort Schadcode aufgrund einer Server-seitigen Lücke, die das Einschleusen von Templates erlaubt, unterschieben und ausführen (CVE-2022-22954, CVSS 9.8, Risiko kritisch). Durch zwei weitere Lücken ließ sich die Authentifizierung umgehen.

VMware stellt für die meisten Produkte Updates bereit, die die Fehler in der Software beheben sollen. Zudem verlinken die Sicherheitsmeldungen Gegenmaßnahmen für betroffene Produkte, für die noch keine Patches bereitstehen, die IT-Verantwortliche zeitnah einplanen und umsetzen sollten.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE