ГлавнаяБаза уязвимостей БДУ → BDU:2023-05004
10критическая

BDU:2023-05004

Уязвимость инструмента мониторинга сетей и приложений VMware Aria Operations for Networks (ранее vRealize Network Insight) связана с ошибками в коде генератора псевдослучайных чисел, позволяющая нарушителю повысить свои привилегии
Опубликовано: 2023-08-31
Описание

Уязвимость инструмента мониторинга сетей и приложений VMware Aria Operations for Networks (ранее vRealize Network Insight) связана с ошибками в коде генератора псевдослучайных чисел. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии путём обхода процедуры аутентификации

Затрагиваемое ПО и версии
VMware Aria Operations for Networks (от 6.2.0 до 6.2.0 P9)VMware Aria Operations for Networks (от 6.3.0 до 6.3.0 P6)VMware Aria Operations for Networks (от 6.4.0 до 6.4.0 P10)VMware Aria Operations for Networks (от 6.5.0 до 6.5.1 P8)VMware Aria Operations for Networks (от 6.6.0 до 6.6.0 P6)VMware Aria Operations for Networks (от 6.7.0 до 6.7.0 P6)VMware Aria Operations for Networks (от 6.8.0 до 6.8.0 P3)VMware Aria Operations for Networks (от 6.9.0 до 6.9.0 P5)VMware Aria Operations for Networks (от 6.10.0 до 6.10.0 P4)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- ограничение доступа к программному средству из общедоступных сетей (Интернет);
- использование средств межсетевого экранирования для ограничения возможности удаленного доступа к программному средству.

Использование рекомендаций производителя:
https://www.vmware.com/security/advisories/VMSA-2023-0018.html

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://www.vmware.com/security/advisories/VMSA-2023-0018.html
Проверьте безопасность своего сайта и почты → Полная проверка домена