VMware by Broadcom hat zwei Schwachstellen im vCenter Server mit dem VMware Security Advisories VMSA-2024-0019 bekannt gegeben.
Die als kritisch eingestuften Schwachstellen CVE-2024-38812 wurden mit 9,8 auf der zehnstufigen Skala des Common Vulnerability Scoring System v3 (CVSSv3) bewertet.
Im Sicherheitsbulletin von VMware wird diese Schwachstellen als „Heap-Overflow-Schwachstellen in der Implementierung des DCE/RPC-Protokolls“ beschrieben.
Ein Angreifer mit Netzwerkzugriff auf vCenter Server kann diese Schwachstellen ausnutzen, indem er ein speziell gestaltetes Netzwerkpaket sendet, das möglicherweise zur Remotecodeausführung führt.
In der VMware Security Advisories wird ebenfalls die Schwachstelle CVE-2024-38813 beschrieben. Ein böswilliger Angreifer mit Netzwerkzugriff auf vCenter Server kann diese Schwachstelle ausnutzen, um durch das Senden eines speziell gestalteten Netzwerkpakets die Berechtigungen auf Root zu erhöhen. Diese Schwachstelle wird mit 7,8 als wichtig eingestuft.
Broadcom hat derzeit keine Kenntnis von einer Ausnutzung dieser Schwachstellen „in der freien Wildbahn“. Diese Probleme würden nach den ITIL-Methoden als dringende Änderungen eingestuft, die ein sofortiges Handeln Ihrer Organisation erfordern. Aus diesen Gründen sollte zeitnah, ein Update auf die genannten Fixed Versions erfolgen. Einen Workaround ist nicht vorhanden.
Fixed Versions
- vCenter 8.0 U3b
- vCenter 7.0 U3sEin Update für 8.0 U2 ist aktuell nicht verfügbar und seitens Broadcom als pending eingestuft. Sollten Sie noch auf dem Release Stand 8.0 Update 2 sein, ist aktuell ein Upgrade auf 8.0 Update 3 notwendig. Beachten Sie hierbei die Kompatibilität zu anderen genutzten Komponenten wie z.B. Backupsoftware, Storageintegration oder VDI.
Gerne unterstützt Sie hierbei das AU Engineering Team.
Downloads
Am 15. April 2024 kündigte Broadcom in einem Blog-Post an, dass alle Kunden, einschließlich derer mit abgelaufenen Support-Verträgen, Zugang zu allen Patches für Critical Severity Security Alerts für unterstützte Versionen von VMware vSphere haben werden. Diese Policy kann in KB 314603 nachgelesen werden.
Unterstützte Versionen von VMware vSphere sind die Versionen 7.x und 8.x. Broadcom definiert einen Zero-Day-Sicherheits-Patch als einen Patch oder eine Umgehung für Critical Severity Security Alerts mit einem CVSS-Score (Common Vulnerability Scoring System) größer oder gleich 9.0.
VMware vCenter Server 8.0 U3b
Downloads: https://support.broadcom.com/web/ecx/solutiondetails?patchId=5515
Documentation: https://docs.vmware.com/en/VMware-vSphere/8.0/rn/vsphere-vcenter-server-80u3b-release-notes/index.html
VMware vCenter Server 7.0 U3s
Downloads: https://support.broadcom.com/web/ecx/solutiondetails?patchId=5513
Documentation: https://docs.vmware.com/en/VMware-vSphere/7.0/rn/vsphere-vcenter-server-70u3s-release-notes/index.html
Matthias Beller