VMware: Angreifer könnten Opfer auf von ihnen kontrollierte Websites umleiten
Es gibt wichtige Sicherheitsupdates für vRealize und vRealize Orchestrator. Keine Sicherheitslücke gilt als kritisch.
(Bild: Photon photo/Shutterstock.com)
- Dennis Schirrmacher
Angreifer könnten Systeme mit der Cloud-Managementlösung vRealize und vRealize Orchestrator attackieren. Dagegen abgesicherte Versionen sind erschienen.
Nehmen Angreifer die drei nun geschlossenen Sicherheitslücken (CVE-2021-22036 "mittel", CVE-2021-22035 "mittel", CVE-2021-22033 "niedrig") erfolgreich ins Visier, könnten sie Opfer unter anderem auf eine von ihnen kontrollierte Domain umleiten.
Die Entwickler geben an, die Sicherheitsprobleme in vRealize Orchestrator 8.6, vRealize Automation 8.6 und vRealize Operations 8.6.0 gelöst zu haben. Die Patches für Cloud Foundation (vROps) und vRealize Suite Lifecylce Manager (vROps) stehen noch aus.
Weitere Details zu den Schwachstellen und abgesicherten Versionen finde Admins in diesen Warnmeldungen:
- VMware vRealize Orchestrator update addresses open redirect vulnerability (CVE-2021-22036)
- VMware vRealize Log Insight CSV injection vulnerability (CVE-2021-22035)
- Server Side Request Forgery in vRealize Operations (CVE-2021-22033)
(des)