VMware выпустила патчи, которые исправляют важные и критические уязвимости, затрагивающие продукты vSphere Data Protection (VDP) и ESXi.
Критический недостаток был обнаружен Марком Стрёбелем (Marc Ströbel) в vSphere Data Protection, программном обеспечении, предназначенном для создания резервных копий виртуальных машин, виртуальных серверов и баз данных.
По данным VMware, VDP включает в себя закрытый ключ SSH с известным паролем, что позволяет аутентифицироваться с помощью ключа. Злоумышленник может использовать эту брешь для входа в устройство с привилегиями суперпользователя.
Уязвимость получила идентификатор , затрагивает VDP версии 5.5.x, 5.8.x, 6.0.x и 6.1.x. VMware выпустила , который меняет дефолтные клавиши SSH.
Вторая брешь, исправленная VMware на этой неделе представляет собой уязвимость межсайтового скриптинга (XSS), затрагивающая гипервизор ESXi. Злоумышленник, который может управлять виртуальными машинами (VM) с помощью ESXi Host Client, может использовать эту дыру в безопасности, импортировав специально созданную VM.
Уязвимость была обнаружена Калебом Уоттом (Caleb Watt), получила идентификатор и затрагивает версии ESXi 5.5 и 6.0. Обновления доступны для обеих версий.
Эксперты по безопасности все чаще обращают внимание на продукты VMware. В 2016 году компания выпустила 24 сообщения об уязвимостях, почти в три раза больше, чем в прошлом году.
