VMSA-2021-0018 VMware VRealize Operations Güvenlik Açığı

Virtualization

Merhaba, VMware vRealize Operations Manager (vROps) uygulamasını etkileyen yeni güvenlik açıklarını duyurdu. CVSSv3 skorları 4.4 – 8.6 gibi yüksek skorlarda olduğundan alınması gereken önlemleri ve bu zafiyetleri önlemek için kullandığınız vROps versiyon’unun fixlenmiş sürümüne güncellenmesi gerekmektedir.

Zafiyetlerin ilki vROps api’sini server tarafın’a istek sahteciliği yaparak yönetici hesap bilgilerini elde etmeye çalışmaktadır. Diğer zafiyet ise rasgele dosya yazma güvenlik açığını içeriyor. Bu açıkla ilgili VMware güvenlik tavsiye linki için tıklayınız. Her iki zafiyet için vROps uygulamasının response matrixleri aşağıdaki gibidir.

ProductVersionRunning OnCVE IdentifierCVSSv3SeverityFixed VersionWorkaroundsAdditional Documentation
vRealize Operations Manager8.5.0AnyN/AN/AN/AUnaffectedN/AN/A
vRealize Operations Manager8.4.0AnyCVE-2021-22022, CVE-2021-22023, CVE-2021-22024, CVE-2021-22025, CVE-2021-22026, CVE-2021-220274.4 – 8.6Important KB85383NoneFAQ
vRealize Operations Manager8.3.0AnyCVE-2021-22022, CVE-2021-22023, CVE-2021-22024, CVE-2021-22025, CVE-2021-22026, CVE-2021-220274.4 – 8.6Important KB85382NoneFAQ
vRealize Operations Manager8.2.0AnyCVE-2021-22022, CVE-2021-22023, CVE-2021-22024, CVE-2021-22025, CVE-2021-22026, CVE-2021-220274.4 – 8.6Important KB85381NoneFAQ
vRealize Operations Manager8.1.1, 8.1.0AnyCVE-2021-22022, CVE-2021-22023, CVE-2021-22024, CVE-2021-22025, CVE-2021-22026, CVE-2021-220274.4 – 8.6Important KB85380NoneFAQ
vRealize Operations Manager8.0.1, 8.0.0AnyCVE-2021-22022, CVE-2021-22023, CVE-2021-22024, CVE-2021-22025, CVE-2021-22026, CVE-2021-220274.4 – 8.6Important KB85379NoneFAQ
vRealize Operations Manager7.5.0AnyCVE-2021-22022, CVE-2021-22023, CVE-2021-22024, CVE-2021-22025, CVE-2021-22026, CVE-2021-220274.4 – 8.6Important KB85378NoneFAQ
ProductVersionRunning OnCVE IdentifierCVSSv3SeverityFixed VersionWorkaroundsAdditional Documentation
VMware Cloud Foundation (vROps)4.xAnyCVE-2021-22022, CVE-2021-22023, CVE-2021-22024, CVE-2021-22025, CVE-2021-22026, CVE-2021-220274.4 – 8.6Important KB85452NoneFAQ
VMware Cloud Foundation (vROps)3.xAnyCVE-2021-22022, CVE-2021-22023, CVE-2021-22024, CVE-2021-22025, CVE-2021-22026, CVE-2021-220274.4 – 8.6Important KB85452NoneFAQ
vRealize Suite Lifecycle Manager (vROps)8.xAnyCVE-2021-22022, CVE-2021-22023, CVE-2021-22024, CVE-2021-22025, CVE-2021-22026, CVE-2021-220274.4 – 8.6Important KB85452NoneFAQ

Çözüm için vROps uygulamanızın sürümünü fixlenmiş sürüm paketine yükseltme yapmanız gerekmektedir. Bunun için VMware Patch Portal sayfasına login olalım ve  .pak uzantılı dosya paketimizi indirelim.

Resim-1

Fixlenmiş sürümü yüklemek için daha önce yazmış olduğum upgrade makalesini kullanabilirsiniz.Makale için tıklayınız.