В vCenter Server закрыли уязвимость, грозящую исполнением вредоносного кода

В vCenter Server закрыли уязвимость, грозящую исполнением вредоносного кода

В vCenter Server закрыли уязвимость, грозящую исполнением вредоносного кода

Компания VMware пропатчила софт vCenter Server, исправив ошибку, позволяющую выполнить произвольный код в хост-системе. Пользователям уязвимой версии продукта (6.5) рекомендуется установить обновление.

В бюллетене разработчика уязвимость CVE-2022-31680 охарактеризована как небезопасная десериализация данных в компоненте PSC (контроллере, отвечающем за управление идентификацией, сертификатами и лицензиями в средах vSphere). Эксплойт требует админ-доступа к серверу vCenter и в случае успеха может привести к исполнению стороннего кода в нижележащей ОС.

Уязвимости подвержены только vCenter Server 6.5 с внешним PSC; степень опасности новой проблемы в VMware оценили как высокую (в 7,2 балла по шкале CVSS). Заплатка включена в состав обновления 6.5 U3u.

Одновременно вышли патчи для ESXi, они закрывают возможность вызвать отказ в обслуживании (DoS) на хост-машине (CVE-2022-31681). Причиной появления уязвимости является ошибка разыменования null-указателя, которую можно спровоцировать при наличии привилегий уровня VMX-процесса (обеспечивает исполнение гостевой ОС).

Проблема, оцененная в 3,8 балла CVSS (как низкой степени опасности), актуальна для ESXi 7.0, 6.7 и 6.5, а также Cloud Foundation (ESXi) версий 3 и 4.

В прошлом году разработчик несколько раз латал опасные дыры в vCenter. Такие уязвимости открывают широкие возможности для хакеров и пользуются у них большой популярностью, поэтому виртуальные инфраструктуры на базе продуктов VMware лучше всегда держать в актуальном состоянии.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

OpenAI призывает разрешить игнорировать авторское право при обучении ИИ

Компания OpenAI официально обратилась к правительству США с просьбой разрешить использование контента, защищенного авторским правом, для обучения искусственного интеллекта (ИИ) при условии соблюдения принципа «добросовестного использования» (fair use).

По мнению представителей компании, ограничения на доступ к таким данным угрожают национальной безопасности и конкурентоспособности США на международной арене.

Издание Ars Technica отмечает, что OpenAI и другие разработчики искусственного интеллекта уже вовлечены в десятки судебных разбирательств с правообладателями.

В большинстве случаев суды встают на сторону владельцев авторских прав, отказываясь признавать правомерной трансформацию их контента при обучении нейросетей. Кроме того, как сообщал журнал Wired, некоторые иски были поданы из-за опасений, что развитие ИИ может полностью вытеснить людей из ряда профессий.

OpenAI подчеркнула, что китайские разработчики имеют практически неограниченный доступ к информации и могут свободно использовать защищённый контент, что даёт им значительное преимущество в скорости и качестве разработки искусственного интеллекта.

Компания уверена, что США рискуют проиграть технологическую гонку, если американские компании не получат аналогичный доступ к широкому спектру данных для обучения нейросетей.

Ситуация усложняется также активностью американских законодателей, которые за последнее время предложили уже 822 нормативных акта, направленных на регулирование сферы ИИ.

Многие из предложенных законов похожи на действующие в Евросоюзе нормы, которые, по мнению OpenAI, значительно усложняют технологическое развитие и могут негативно повлиять на конкурентоспособность США.

Компания также выступила против присоединения Соединённых Штатов к международным соглашениям, которые, по её мнению, могут замедлить развитие технологий и усилить преимущества китайских конкурентов, чьи разработки уже активно внедряются на американском рынке.

Федеральные власти США пока никак не прокомментировали предложение OpenAI. План национального развития искусственного интеллекта должен быть представлен в июле 2025 года.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru