Критическую дыру устранили в VMware Realize Business for Cloud

Екатерина Быстрова 14 Мая 2021 - 16:17

Корпорации

Positive Technologies

VMware

Уязвимости программ

Патчи

...

Критическую дыру устранили в VMware Realize Business for Cloud

Специалист Positive Technologies Егор Димитренко выявил уязвимость в продукте VMware Realize Business for Cloud. Уязвимости можно присвоить статус критической, поэтому всем затронутым организациям рекомендуется как можно скорее установить уже готовые патчи.

Как известно, продукт VMware Realize Business for Cloud используется для визуализации и планирования расходов, а также анализа затрат и сравнения бизнес-показателей. Обнаруженная в нём брешь получила идентификатор CVE-2021-21984 и 9,8 баллов по шкале CVSSv3.

Как объяснил Димитренко, в случае эксплуатации уязвимость позволяет злоумышленнику, не прошедшему аутентификацию, удалённо выполнить команды на целевом устройстве. В результате атакующий сможет получить полный контроль над сервером жертвы и осуществлять вредоносные действия в инфраструктуре компании.

Баг возникает из-за некорректной настройки приложения, позволяющей посторонним получить доступ к «родной» функции обновления. Именно эта функция позволяет выполнять команды на сервере, поскольку задействуется механизм установки новых версий продукта.

«Основной причиной этих ошибок является недостаточное тестирование новых функциональных возможностей при выпуске очередной версии продукта», — объясняет эксперт Positive Technologies.

Чтобы устранить опасную брешь, пользователям достаточно пройти на официальный сайт VMware. На этой странице компания описывает уязвимость и даёт рекомендации по патчингу.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Читайте также

Стало известно об обысках в Ланите

Яков Шпунт 20 Марта 2025 - 18:50

Соответствие законодательству РФ Корпорации

ФСБ России провела обыски в компании «Ланит», изъяв документы, касающиеся разработки информационной системы судов общей юрисдикции Москвы.

О следственных действиях сообщил РБК, ссылаясь на два источника в ИТ-отрасли.

ТАСС, также ссылаясь на источники в оперативных службах, подтвердил, что правоохранители проводят обыски в «Ланит» и изучают документацию компании.

По имеющейся информации, следственные действия связаны с разработкой комплексной информационной системы судов общей юрисдикции Москвы (КИС СОЮ), в создании которой «Ланит» принимал участие.

Работы над КИС СОЮ велись с 2015 по 2017 годы, а бюджет проекта составил около 2,5 млрд рублей. Система интегрирована не только с судами, но и с другими организациями и ведомствами, задействованными в судебных процессах.

«Ланит» — один из крупнейших российских системных интеграторов, работающий в сферах заказной разработки, дистрибуции, аутсорсинга и обучения.

Обыски также прошли в компании КРОК, которая, как и «Ланит», является подрядчиком КИС СОЮ. ФСБ проверяет все компании, связанные с разработкой и обслуживанием системы.

В КРОК ситуацию не комментируют, ни подтверждая, ни опровергая факт следственных действий. Официальных заявлений от правоохранительных органов пока не поступало.