Jetzt aktualisieren: VMware patcht teils kritische Sicherheitslücken

In mehreren Produkten schließt VMware Sicherheitslücken mit teilweise kritischem Risiko. Für viele stehen Aktualisierungen bereit, für einige müssen Administratoren jedoch manuell Gegenmaßnahmen ergreifen, um ihre Netzwerke vor erfolgreichen Cyberangriffen zu schützen. Unter anderem sind auch Fehlerbehebungen gegen die Sicherheitslücken, die der kürzlich entdeckte Exploit Spring4Shell nutzt, dabei.

Spring4Shell

Die Absicherungen vor der kürzlich entdeckten Lücke, durch die Angreifer aus dem Netz bösartigen Code einschleusen könnten, betrifft die Produkte VMware Tanzu Application Service for VMs (TAS), VMware Tanzu Operations Manager (Ops Manager) und VMware Tanzu Kubernetes Grid Integrated Edition (TKGI) (CVE-2022-22965, CVSS 9.8, kritisch). Hier stellt das Unternehmen Patches bisher nur für TAS Updates bereit. In der Sicherheitsmeldung verlinkt VMware für Ops Manager und TAS, auf denen das Update noch nicht installiert werden kann, sowie für TKGI immerhin eine Anleitung, wie Administratoren Gegenmaßnahmen zum Schutz vor Angriffen ergreifen können.

Aber auch zu weiteren Produkten hat VMware eine Sicherheitsmeldung herausgegeben, da sie teils Lücken enthalten, die eine kritische Gefahr darstellen. Der Hersteller listet VMware Workspace ONE Access, Identity Manager, vRealize Automation, Cloud Foundation und Suite Lifecycle Manager. Unter anderem könnten Angreifer dort Schadcode aufgrund einer Server-seitigen Lücke, die das Einschmuggeln von Templates erlaubt, einschleusen und ausführen (CVE-2022-22954, CVSS 9.8, Risiko kritisch).

Durch zwei weitere Schwachstellen in den Produkten ließ sich die Authentifizierung umgehen. Der Fehler steckte in dem OAuth2 ACS-Framework, da Endpunkte davon fälschlicherweise erreichbar waren (CVE-2022-22955, CVE-2022-22956; CVSS 9.8, kritisch). Angemeldete Nutzer mit Administratorrechten hätten zudem mit einer manipulierten JDBC-URI die Deserialisierung nicht vertrauenswürdiger Daten anstoßen und so Schadcode einschleusen können (CVE-2022-22957, CVE-2022-22958; CVSS 9.1, kritisch).

Weitere Lücken

Aufgrund einer Cross-Site-Request-Forgery-Schwachstelle hätten bösartige Akteure Nutzer dazu bringen können, ungewollt eine schädliche JDBC-URI zu verifizieren (CVE-2022-22959, CVSS 8.8, hoch). Weiterhin könnten lokale Nutzer ihre Rechte auf root-Privilegien ausweiten (CVE-2022-22960, CVSS 7.8, hoch). Aufgrund der letzten Schwachstelle könnten Angreifer unbefugt an Informationen gelangen, konkret den Hostnamen des Zielsystems. Damit sei es möglich, Opfer anzugreifen (CVE-2022-22961, CVSS 5.3, mittel). Für alle von diesen Fehlern betroffenen Produkte stellt VMware Aktualisierungen bereit.

Ein letztes Paar Sicherheitslücken hat das Unternehmen noch für den VMware Horizon-Client für Linux gemeldet. Die Zugriffsrechte auf einen symbolischen Link waren falsch, sodass ein Nutzer dadurch den Ort des Austausch-Dateiordners ändern und etwa auf Dateien von root umleiten könnte. Damit könnte er seine Rechte im System ausweiten (CVE-2022-22962, CVSS 7.3, hoch). Durch eine verwundbare .conf-Datei könnten Nutzer mit geringer Berechtigungsstufe sich ebenfalls höhere Privilegien am System erschleichen (CVE-2022-22964, CVSS 7.3, hoch).

Für die meisten Produkte stellt der Hersteller Updates bereit, die die Fehler in der Software ausbügeln. Wo das noch nicht der Fall ist, verlinken die Sicherheitsmeldungen immerhin Gegenmaßnahmen, die IT-Verantwortliche anstelle der Aktualisierung zeitnah einplanen und umsetzen sollten.

Lesen Sie auch:

Themenseite zu VMware auf heise online

(dmk)