Albisteak

VMware Tanzu inguruneetan detektatutako ahultasunak

Argitalpen-data: 

Laburpen exekutiboa

Bost kalteberatasun identifikatu dira, horietako batzuk larriak, Intel(R) prozesadoreetan, eta horiek zuzenean eragiten diete VMware inguruneei, hala nola Tanzu Application Service-ri. Akats hauek pribilegioen eskalada ahalbidetzen dute eta, kasu batzuetan, zerbitzuaren ukazioa eragin dezakete, azpiegitura birtualizatuen segurtasuna arriskuan jarrita. Oso garrantzitsua da VMware/Broadcom-ek gomendatutako eguneraketak ahalik eta azkarren aplikatzea, lotutako arriskuak arintzeko.

Eragindako baliabideak

  • VMware Tanzu Application Service (Ez da aipatu bertsio zehatza)
  • TAS/TANZU stemcell(s) (Bereziki Xenial Stemcells -- 621.x)
  • Xenial Stemcells (Bereziki Xenial Stemcells -- 621.x)
  • Jammy v1.572 stemcell (Bertsio zehatza eraginda dago eta konponbidea ere bertan dago)

Azterketa teknikoa

  • CVE-2023-49141: Intel(R) prozesagailuen kaxa korronte mekanismo batzuetako isolamendu ezegokia erabiltzaile autentifikatu batek pribilegioen gorakada gaitzeko aukera ematen du, tokiko sarbidearen bidez.
    • CWE-1189
    • CVSS: 7.8 (handia)
    • CVSS Vector: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2023-42667: Intel(R) Core(TM) Ultra Processor-eko kaxa korronte mekanismoan isolamendu ezegokia erabiltzaile autentifikatu batek pribilegioen gorakada gaitzeko aukera ematen du, tokiko sarbidearen bidez.
    • CWE-1189
    • CVSS: 7.8 (handia)
    • CVSS Vector: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2024-24853: Intel(R) prozesagailu batzuetan, exekuzio monitore eta SMI transmisio monitore (STM) arteko trantsizioan portaera okerren ordena, pribilegioak dituen erabiltzaile batek pribilegioen gorakada gaitzeko aukera ematen du, tokiko sarbidearen bidez.
    • CWE-696
    • CVSS: 7.2 (handia)
    • CVSS Vector: CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2024-24980: Intel(R) Xeon(R) prozesagailuen hirugarren, laugarren eta bostgarren belaunaldietako batzuetako babes mekanismoaren hutsak, pribilegioak dituen erabiltzaile batek pribilegioen gorakada gaitzeko aukera ematen du, tokiko sarbidearen bidez.
    • CWE-693
    • CVSS: 6.1 (ertaina)
    • CVSS Vector: CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:C/C:L/I:H/A:N
    • Explotazioa: Ez da detektatu
  • CVE-2024-25939: Intel(R) Xeon(R) prozesagailu eskalagarrien hirugarren belaunaldiko balore ezberdinekin isladatutako eremuek, pribilegioak dituen erabiltzaile batek zerbitzu-ukapena gaitzeko aukera ematen du, tokiko sarbidearen bidez.
    • CWE-1251
    • CVSS: 6.0 (ertaina)
    • CVSS Vector: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:N/I:N/A:H
    • Explotazioa: Ez da detektatu

Arintzea/Konponbidea

VMwarek segurtasun-akats hauek identifikatu ditu Tanzu makina birtualetan eta arazo hauek arintzeko edo konpontzeko neurriak hartzea gomendatzen du. Xenial Stemcellsek 2024ko apirilean laguntza orokorraren amaiera izan dutenez eta ez dago Xenialerako stemcell berririk aurreikusita, VMwarek barne hartzen duen irtenbidea Jammy v1.572 stemcell bertsiora igarotzea da. Bertsio honek identifikatutako kalteberatasunentzako zuzenketa barne hartzen du. Informazio gehiago lortzeko, Broadcom-en dagokion dokumentazio teknikoaren orria bisitatu daiteke.

Erreferentzia gehigarriak