Ir para conteúdo

Alerta de Vulnerabilidades - VMware Cloud Foundation

TIPO
Vulnerabilidade
SISTEMAS AFETADOS
VMware Cloud Foundation versões 3.x / VMware NSX-V versões anteriores a 6.4.14
ECOSSISTEMA
VMWare
Descrição

A VMware publicou uma atualização de segurança que corrige duas vulnerabilidades (CVE-2021-39144 e CVE-2022-31678), uma delas crítica. Estas vulnerabilidades afetam os ambientes VMware Cloud Foundation em todas as versões 3.x e instâncias VMware NSX-V nas versões anteriores a 6.4.14.
A vulnerabilidade RCE (CVE-2021-39144) afeta VMware Cloud Foundation através da biblioteca open source XStream. Por outro lado, o CVE-2022-31678 trata uma vulnerabilidade XML External Entity (XXE) de severidade moderada.

 

Impacto

Caso estas vulnerabilidades sejam exploradas com sucesso, permitem, entre outras consequências, a um atacante a execução remota de código.

 

Resolução

Para versões do VMware Cloud Foundation anteriores a 3.9.1, recomenda-se a atualização para a versão 3.11.0.1 (ou mais recente) e, de seguida, a aplicação dos passos mencionados na secção Workaround de [2].
Para versões do VMware Cloud Foundation posteriores a 3.9.1, recomenda-se a aplicação dos passos mencionados na secção Workaround de [2].

 

Referências
Última atualização em 07-09-2022