Зарубежная недвижимость
Блог
Критическая уязвимость в устаревшем удаленном VMware EAP. Устранить немедленно.

Критическая уязвимость в устаревшем удаленном VMware EAP. Устранить немедленно.

Критическая уязвимость в устаревшем удаленном VMware EAP. Устранить немедленно.

VMware призывает клиентов удалить устаревший плагин Enhanced Authentication Plugin (EAP) после раскрытия критического уязвимости CVE-2024-22245. VMware настоятельно рекомендует пользователям удалить устаревший плагин Enhanced Authentication Plugin (EAP) после обнаружения произвольной уязвимости аутентификации CVE-2024-22245 (CVSS-оценка: 9,6).

Злоумышленник может обмануть пользователя домена с установленным EAP в веб-браузере, чтобы запросить и передать билеты на обслуживание для произвольных имен служб Active Directory Service Principal Names (SPN). В сообщении, опубликованном ведущим виртуализационным гигантом, сказано: "Обычный подтверждающий ретранслятор и уязвимости перехвата сеанса в устаревшем плагине расширенной аутентификации VMware (EAP) были доложены VMware".

Согласно документу, для этой уязвимости не существует обходных путей.

Рекомендуемая недвижимость
Купить квартиру в Турции 146000€

Продажа квартиры в Обе с видом на море 164 330 $

1 спальня

1 санузел

51 м²

Купить квартиру в Турции 158000€

Продажа квартиры в Обе 177 837 $

1 спальня

1 санузел

50 м²

Купить квартиру в Турции 136000€

Продажа квартиры в Обе с видом на парк 153 075 $

1 спальня

1 санузел

40 м²

Купить квартиру в Турции 195000€

Продажа квартиры в Обе 219 482 $

2 спальни

2 санузла

90 м²

Купить пентхаус в Турции 280000€

Продажа пентхауса в Обе с видом на парк 315 154 $

3 спальни

3 санузла

200 м²

Купить квартиру в Турции 160000€

Продажа квартиры в Обе с видом на город 180 088 $

1 спальня

47 м²

Плагин VMware Enhanced Authentication (EAP) был специально разработан для обеспечения безпроблемного входа в интерфейсы управления vSphere с помощью интегрированной аутентификации Windows и функциональности смарт-карт на системах клиентов Windows. Плагин был устарел с момента выхода vCenter Server 7.0u2 в 2021 году.

Компания также устранила наличие уязвимости перехвата сессии в EAP, относимой к важной категории, и определенной как CVE-2024-22250 (CVSS-оценка 7,8). "Злоумышленник с ограниченными привилегиями локального доступа к операционной системе Windows может перехватить привилегированную сессию EAP, если она инициирована привилегированным пользователем домена на той же системе", - говорится в сообщении.

Обе уязвимости были обнаружены Ceri Coburn из компании Pen Test Partners.

Комментарий

Подпишитесь на новостную рассылку от Hatamatata.ru!

Я соглашаюсь с правилами обработки персональных данных и конфиденциальности Hatamatata