Firma VMware poinformowała o usunięciu trzech krytycznych błędów w narzędziu do backupu i odtwarzania środowisk wirtualnych vSphere Data Protection (VDP). Luka CVE-2017-15548 pozwala atakującemu na ominięcie procedur uwierzytelniania i uzyskanie w aplikacji uprawnień administratora. Luki CVE-2017-15549 i CVE-2017-15550 dotyczą uwierzytelnionych użytkowników z niskimi uprawnieniami. Pierwsza umożliwia przesyłanie dowolnych, a więc także złośliwych plików. Druga daje dostęp do plików, do których tacy użytkownicy teoretycznie nie powinni mieć dostępu. Każdą z wymienionych podatności można wykorzystać zdalnie.
Ryzyko duże: Skuteczne zabezpieczanie danych jest istotne dla działalności każdego przedsiębiorstwa, a wadliwie działający program do backupu to uniemożliwia.
Działania krótkoterminowe: Aktualizacja oprogramowania vSphere Data Protection do wersji 6.1.6 lub 6.0.7.
Źródło: https://www.vmware.com/us/security/advisories/VMSA-2018-0001.html
