Unsichere Konfiguration gefährdet vRealize Operations for Horizon Adapter
VMware hat wichtige Sicherheitsupdates veröffentlicht, die unter anderem eine kritische Lücken schließen.
(Bild: Artur Szczybylo/Shutterstock.com)
Wer virtuelle Maschinen mit vRealize Operations für Horizon Adapter unter Windows überwacht und verwaltet, sollte aus Sicherheitsgründen die aktuelle Version installieren. Ansonsten könnten Angreifer eine "kritische" Lücken ausnutzen, um Schadcode auszuführen.
Angriffe sind einer Warnmeldung von VMware zufolge aus der Ferne und ohne Authentifizierung möglich. Ansatzpunkt ist ein unsicher konfigurierter JMX-RMI-Service. Die Sicherheitslücke (CVE-2020-3943) betrifft die Versionsstränge 6.6.x und 6.7.x. Abgesichert sind die Ausgaben 6.6.1 und 6.7.1.
Weitere Lücken
Darin hat VMware auch noch eine mit dem Bedrohungsgrad "hoch" eingestufte Schwachstelle (CVE-2020-3944) geschlossen. Hier könnte eine fehlerhafte Konfiguration des Trust Stores Angreifer dazu befähigen, eine Authentifizierung zu umgehen.
Setzen Angreifer an der dritten geschlossenen Lücke (CVE-2020-3945, Angriffsrisiko "mittel") an, könnten sie auf eigentlich abgeschottete Informationen zugreifen. (des)
