VMware исправила уязвимости в VDP и ESXi

VMware выпустила патчи, которые исправляют важные и критические уязвимости, затрагивающие продукты vSphere Data Protection (VDP) и ESXi.

Критический недостаток был обнаружен Марком Стрёбелем (Marc Ströbel) в vSphere Data Protection, программном обеспечении, предназначенном для создания резервных копий виртуальных машин, виртуальных серверов и баз данных.

По данным VMware, VDP включает в себя закрытый ключ SSH с известным паролем, что позволяет аутентифицироваться с помощью ключа. Злоумышленник может использовать эту брешь для входа в устройство с привилегиями суперпользователя.

Уязвимость получила идентификатор CVE-2016-7456, затрагивает VDP версии 5.5.x, 5.8.x, 6.0.x и 6.1.x. VMware выпустила патч, который меняет дефолтные клавиши SSH.

Вторая брешь, исправленная VMware на этой неделе представляет собой уязвимость межсайтового скриптинга (XSS), затрагивающая гипервизор ESXi. Злоумышленник, который может управлять виртуальными машинами (VM) с помощью ESXi Host Client, может использовать эту дыру в безопасности, импортировав специально созданную VM.

Уязвимость была обнаружена Калебом Уоттом (Caleb Watt), получила идентификатор CVE-2016-7463 и затрагивает версии ESXi 5.5 и 6.0. Обновления доступны для обеих версий.

Эксперты по безопасности все чаще обращают внимание на продукты VMware. В 2016 году компания выпустила 24 сообщения об уязвимостях, почти в три раза больше, чем в прошлом году.