VMware stopft SQL-Injection-LĂĽcke in Aria Automation
Angreifer können eine Schwachstelle in VMware Aria Automation missbrauchen, um eigene Befehle mittels SQL-Injection einzuschleusen. Updates stehen bereit.
Durch eine Sicherheitslücke in VMware Aria Automation können Angreifer SQL-Befehle einschleusen und so auf die Datenbank zugreifen. Aktualisierte Software steht bereit, die die Sicherheitslücke schließt.
Aufgrund mangelhafter Eingabeprüfungen öffne sich eine SQL-Injection-Lücke in dem Produkt, erklärt Broadcom in der Sicherheitsmeldung. Dadurch können Angreifer sorgsam präparierte SQL-Statements einschleusen und so unbefugt Lese- und Schreiboperationen auf der Datenbank ausführen (CVE-2024-22280, CVSS 8.5, Risiko "hoch"). Wie genau ein Angriff aussehen könnte und an welcher Stelle genau die Überprüfung fehlt, nennen die Autroen der Sicherheitswarnung jedoch nicht.
Aktualisierungen korrigieren den Fehler
Die LĂĽcke betrifft VMware Aria Automation 8.x sowie VMware Cloud Foundation 4.x und 5.x. FĂĽr Aria Automation stellt VMware auf einer eigenen Webseite Patches fĂĽr die einzelnen betroffenen Release-Zweige bereit. FĂĽr die Cluod Foundation verweist der Hersteller ebenfalls auf diese Patches. Die Version VMware Aria Automation 8.17.0 soll den Fehler ebenfalls nicht mehr enthalten.
Alternative temporäre Gegenmaßnahmen zum Abmildern der Sicherheitslücke nennt VMware nicht. IT-Verantwortliche sollten daher die bereitstehenden Updates zügig installieren.
In den VMware-Produkten finden sich immer wieder SicherheitslĂĽcken. Ende Mai etwa haben die Entwickler drei Sicherheitslecks in VMware Cloud Foundation, ESXi, Fusion, vCenter Server und Workstation Pro/Player abgedichtet. Die VMware Cloud Foundation hat kĂĽrzlich eine Live-Patching-Funktion erhalten, die viele Aktualisierungen im laufenden Betrieb installieren und so fĂĽr geringere Downtimes sorgen kann. Allerdings erfordern einige Updates wie die von Kernel-Software weiterhin den Maintenance-Modus.
(dmk)