Theo đó, lỗ hổng CVE-2024-37079 và CVE-2024-37080 được vá có điểm CVSS 9,8. Đây là các tràn bộ nhớ heap trong quá trình triển khai giao thức DCE/RPC, có thể cho phép có được quyền truy cập mạng vào máy chủ vCenter bằng cách gửi một gói mạng được thiết kế đặc biệt có khả năng dẫn đến .
Một lỗ hổng khác là CVE-2024-37081 (điểm CVSS: 7,8) là lỗ hổng leo thang đặc quyền cục bộ trong , phát sinh do cấu hình sai sudo mà người dùng được xác thực có đặc quyền phi quản trị có thể khai thác để lấy quyền root.
Đây không phải là lần đầu tiên VMware giải quyết những thiếu sót trong việc triển khai giao thức DCE/RPC. Vào tháng 10/2023, nhà cung cấp dịch vụ ảo hóa thuộc sở hữu của Broadcom đã vá một lỗ hổng bảo mật quan trọng khác (CVE-2023-34048, điểm CVSS: 9,8). Lỗ hổng này cũng có thể bị lạm dụng để thực thi mã tùy ý từ xa.
Cả 3 lỗ hổng trên đều ảnh hưởng đến vCenter Server phiên bản 7.0 và 8.0, được VMware giải quyết trong các phiên bản 7.0 U3r, 8.0 U1e và 8.0 U2d.
Nhà phát hành khuyến nghị người dùng nên nhanh chóng cập nhật các bản vá mới để hạn chế nguy cơ bị tấn công từ các lỗ hổng còn tồn tại.
Nguyễn Liên
(broadcom.com)
13:00 | 06/06/2024
08:00 | 17/07/2024
15:00 | 20/09/2023
10:00 | 28/06/2024
14:00 | 14/06/2023
09:00 | 02/02/2023
16:00 | 31/08/2024
Juventus lựa chọn Kiến trúc bảo mật Security Fabric và danh mục sản phẩm mạng bảo mật của Fortinet nhằm đơn giản hóa quản lý và giúp phát hiện, giải quyết các vấn đề mạng và bảo mật khắp các cơ sở nổi tiếng thế giới của câu lạc bộ này.
10:00 | 23/07/2024
Chỉ sau một thời gian ngắn triển khai, ứng dụng Công dân Thủ đô số (iHanoi) đã nhanh chóng ghi nhận những thành tích ấn tượng, khẳng định là công cụ kết nối hữu hiệu giữa người dân và chính quyền Hà Nội. Người dân đánh giá cao iHanoi nhờ tính tiện dụng và hiệu quả xử lý.
09:00 | 10/06/2024
Ngày 4/6 vừa qua, Cisco thông báo về bản bảo mật mới sau khi giới truyền thông đưa tin rằng các cuộc họp sử dụng Webex của chính phủ Đức đã bị lộ, có khả năng cho phép đối tượng xấu có được các thông tin nhạy cảm.
10:00 | 07/06/2024
Tại sự kiện Build 2024, Microsoft đã giới thiệu tính năng trí tuệ nhân tạo (AI) mới mang tên Recall trên hệ điều hành Windows 11, cho phép người dùng có thể xem lại các tác vụ đã thực hiện trên máy.
Cơ quan bảo vệ dữ liệu Hà Lan (DPA) cho biết đã phát hiện Uber thu thập thông tin nhạy cảm của các tài xế châu Âu bao gồm bằng lái, dữ liệu vị trí, dữ liệu y tế và chuyển tới các máy chủ ở Mỹ mà không có biện pháp bảo vệ dữ liệu phù hợp.
16:00 | 05/09/2024