1. Anasayfa
  2. Virtualization

New Vulnerabilities VMSA-2021-002

New Vulnerabilities VMSA-2021-002
1

VMware kritik VMSA-2021-002 olarak listelenen bir VMware Security Advisory  yayınladı ve güvenlik açığının mümkün olan en kısa sürede düzeltilmesini tavsiye ediyor.

 

VMware vCenter Server updates address remote code execution vulnerability in the vSphere Client (CVE-2021-21972)

VMSA-2021-002 VMware Security Advisory ‘de yayınlanan açık   ESXi OpenSLP  heap-overflow vulnerability  (CVE-2021-21974) ele alır. Bu açık VMware’in kritik olarak kabul ettiği bir dizi güvenlik açıklarının parçasıdır. En kötüsüde  CVSSv3 skoru 10  üzerinden 9,8 puan alan bir vCenter Server güvenlik açığıdır.

Contents of the Post

Bu güvenlik açığı neden tehlikeli ?  Bilinen Saldırı Vektörleri

  • 443 nolu porta erişim izni olan bir kötü niyetli bir kişi  vCenter Server’ınızı barındıran temel işletim sisteminde sınırsız ayrıcalıklara sahip komutları yürütmek için bu sorundan yararlanabilir.
  • VSphere Client (HTML5), kullandığınız bir  vCenter Server eklentisinde uzaktan kod yürütme güvenlik açığı içerebilir.

Bu güvenlik açığını Nasıl Kapatabilirim.?

  • https://kb.vmware.com/s/article/82374 ilgili  kb ‘den yararlanarak çözüm sağlayabilirsiniz.

 

ESXi OpenSLP heap-overflow vulnerability (CVE-2021-21974)

 

  • ESXi’de kullanıldığı gibi OpenSLP, heap-overflow   güvenlik açığına sahiptir. Bu açık VMware’in kritik olarak kabul ettiği bir dizi güvenlik açıklarının parçasıdır. En kötüsüde  CVSSv3 skoru 10  üzerinden 8,8 puan alan bir ESXI güvenlik açığıdır.

 

Bu güvenlik açığı neden tehlikeli ?  Bilinen Saldırı Vektörleri

  • 427 nolu porta erişim izni olan  ESXi ile aynı ağ segmentinde bulunan kötü niyetli bir kişi OpenSLP hizmetinde uzaktan kod yürütülmesine neden olan heap-overflow sorununu tetikleyebilir.

Bu güvenlik açığını Nasıl Kapatabilirim.?

  • https://kb.vmware.com/s/article/76372  kb ‘den yararlanarak çözüm sağlayabilirsiniz.

15 yılı aşkın bir süredir Bilgi Teknolojileri sektörünün içerisindeyim. Bilişim sektörü ile alakalı farklı eğitimler sertifikalar edinerek bu sektör içerisin de son 12 yıldır profesyonel olarak çalışmaktayım. Yeditepe Üniversitesi Makine bölümü ve Eskişehir Üniversitesi işletme bölümü mezunuyum. Bilişim sektöründe kurumsal firmalarda, pek çok farklı pozisyonlarda görev aldım.

Yazarın Profili
İlginizi Çekebilir

Bültenimize Katılın

Hemen ücretsiz üye olun ve yeni güncellemelerden haberdar olan ilk kişi olun.

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Yorumlar (1)

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir