VMware dichtet Schwachstellen in vSphere Web Client ab - zum Teil

In VMwares vSphere Web Client klaffen Sicherheitslücken, durch die Angreifer unter anderem an sensible Informationen gelangen könnten. Mit aktualisierten vSphere-Server-Versionen dichtet der Hersteller die Schwachstellen ab. Die Software Cloud Foundation (vCenter Server) 3.x ist ebenfalls betroffen. Dafür steht eine Aktualisierung dem Hersteller zufolge jedoch noch aus.

Die schwerwiegendste Schwachstelle tat sich dadurch auf, dass der vSphere Web Client ohne Autorisierung beliebige Dateien einlesen konnte (CVE-2021-21980). In Folge dessen könnten Angreifer mit Zugriff auf den Port 443 des vCenter Servers an sensible Informationen gelangen, erläutert VMware in seiner Sicherheitsmeldung. Das Risiko schätzt das Unternehmen als hoch ein und bewertet es mit einem CVSS-Score von 7.5.

Eine weitere Lücke mittleren Risikos steckte zudem im vSAN Web Client Plug-in des vSphere Web Client (CVSS 6.5). Sie ermöglichte es böswilligen Nutzern, eine sogenannte Server Side Request Forgery (SSRF) auszulösen. Dadurch könnte ein Angreifer den Server veranlassen, Anfragen an andere Systeme zu senden (CVE-2021-22049). Interessierten liefert der Punkt 10 des Hintergrundartikels zu den größten Risiken laut OWASP Top Ten 2021 nähere Details zu SSRF.

Aktualisierungen nur teilweise verfügbar

Betroffen von den Lücken sind vCenter Server 6.5 und 6.7, für die die fehlerbereinigten Fassungen 6.5 U3r respektive 6.7 U3p bereitstehen. VMware hat sie in obiger Sicherheitsmeldung als Downloads verlinkt. Für das ebenfalls betroffene Cloud Foundation (vCenter Server) sei ein Patch demzufolge aber noch ausstehend.

Die angebotenen Aktualisierungen sollten Administratoren zeitnah installieren. Sobald die Cloud Foundation-Updates verfügbar werden, empfiehlt sich auch deren zügige Anwendung. Gegebenenfalls lohnt sich auch ein Upgrade auf Cloud Foundation 4.x, da diese Version ebenso wie vCenter Server 7.0 dem Hersteller zufolge von den Lücken nicht betroffen ist.

(dmk)