Sicherheitsupdates: VMware vSphere Data Protection angreifbar
In einer Komponente von vSphere klaffen zwei als kritisch eingestufte Lücken, über die Angreifer beliebige Befehle ausführen und Log-in-Daten abziehen können.
Wer VMware vSphere Data Protection nutzt, sollte zügig die installierte Version prüfen. Die Versionsstränge 5.5.x, 5.8.x, 6.0.x und 6.1.x sind aufgrund von zwei kritischen Sicherheitslücken verwundbar. Die aktuellen Ausgaben 6.0.5 und 6.1.4 sind abgesichert. Das Notfallteam des BSI CERT Bund stuft das Angriffsrisiko als "sehr hoch" ein .
Bei der ersten Schwachstelle (CVE-2017-4914) handelt es sich um einen Java-Deserialization-Bug. Angreifer sollen hier aus der Ferne ansetzen können, ohne sich anmelden zu müssen. Anschließend sollen sie beliebige Befehle ausführen können.
Über die zweite Lücke (CVE-2017-4917) könnten lokale Eindringlinge ohne Authentifizierung Log-in-Daten von einem vCenter-Server auslesen. Die Zugangsdaten seien zwar geschützt, die Verschlüsselung soll aber umkehrbar sein, warnt VMware. (des)