VMware stopft SQL-Injection-Lücke in Aria Automation

Durch eine Sicherheitslücke in VMware Aria Automation können Angreifer SQL-Befehle einschleusen und so auf die Datenbank zugreifen. Aktualisierte Software steht bereit, die die Sicherheitslücke schließt.

Aufgrund mangelhafter Eingabeprüfungen öffne sich eine SQL-Injection-Lücke in dem Produkt, erklärt Broadcom in der Sicherheitsmeldung. Dadurch können Angreifer sorgsam präparierte SQL-Statements einschleusen und so unbefugt Lese- und Schreiboperationen auf der Datenbank ausführen (CVE-2024-22280, CVSS 8.5, Risiko "hoch"). Wie genau ein Angriff aussehen könnte und an welcher Stelle genau die Überprüfung fehlt, nennen die Autroen der Sicherheitswarnung jedoch nicht.

Aktualisierungen korrigieren den Fehler

Die Lücke betrifft VMware Aria Automation 8.x sowie VMware Cloud Foundation 4.x und 5.x. Für Aria Automation stellt VMware auf einer eigenen Webseite Patches für die einzelnen betroffenen Release-Zweige bereit. Für die Cluod Foundation verweist der Hersteller ebenfalls auf diese Patches. Die Version VMware Aria Automation 8.17.0 soll den Fehler ebenfalls nicht mehr enthalten.

Alternative temporäre Gegenmaßnahmen zum Abmildern der Sicherheitslücke nennt VMware nicht. IT-Verantwortliche sollten daher die bereitstehenden Updates zügig installieren.

Lesen Sie auch

Sicherheitsupdates VMware: Schadcode kann aus VM ausbüchsen

In den VMware-Produkten finden sich immer wieder Sicherheitslücken. Ende Mai etwa haben die Entwickler drei Sicherheitslecks in VMware Cloud Foundation, ESXi, Fusion, vCenter Server und Workstation Pro/Player abgedichtet. Die VMware Cloud Foundation hat kürzlich eine Live-Patching-Funktion erhalten, die viele Aktualisierungen im laufenden Betrieb installieren und so für geringere Downtimes sorgen kann. Allerdings erfordern einige Updates wie die von Kernel-Software weiterhin den Maintenance-Modus.

(dmk)