.
A VMware divulgou uma vulnerabilidade crítica em seu vCenter Server – e lançou uma atualização para corrigi-la semanas atrás, junto com patches para versões não suportadas do software.
A gigante da virtualização que em breve será adquirida pela Broadcom na quarta-feira entregue news que sua implementação do protocolo Distributed Computing Environment/Remote Procedure Calls (DCERPC) contém uma vulnerabilidade de gravação fora dos limites.
CVE-2023-34048, como a vulnerabilidade é agora conhecida, obteve uma pontuação CVSSv3 de 9,8/10, pois permite que um agente mal-intencionado com acesso de rede ao vCenter Server acione uma gravação fora dos limites – potencialmente levando à execução remota de código.
Virtzilla não viu ninguém explorando a falha, mas é claro que aconselha corrigi-la – rápido.
É aí que as coisas ficam um pouco estranhas. Uma maneira de resolver a situação é adotar o vCenter Server 8.0U2 – que foi lançado em 21 de setembro. Ainda um versão arquivada das notas de lançamento do 8.0U2 datadas de 13 de outubro não contém menções a patches de segurança.
A versão das notas de lançamento visíveis hoje também não menciona se o documento foi atualizado para abordar CVE-2023-34048.
Não podemos imaginar que a VMware exigiria que aqueles que adotaram o vCenter 8.0U2 atualizassem seus servidores uma segunda vez, por isso pedimos esclarecimentos sobre se a versão 8.0U2 corrigiu a vulnerabilidade no dia do lançamento.
Excepcionalmente, a VMware também lançou patches para versões do vCenter que atingiram o fim de sua vida útil. Todas as versões 6.5, 6.7 e 7.0 podem encontrar correções.
Virtzilla também revelou um segundo CVE. CVE-2023-34056 significa que “um ator mal-intencionado com privilégios não administrativos para o vCenter Server pode aproveitar esse problema para acessar dados não autorizados”.
Este foi avaliado em apenas 4,3 e é coberto pelos patches que também abordam a vulnerabilidade crítica, encontrada por Grigory Dorodnov da Trend Micro Zero Day Initiative.
Entre a notificação de segurança que trouxe notícias dessas falhas, e a divulgação de hipervisores de desktop atualizadosa VMware está claramente fazendo negócios normalmente antes de sua aquisição pela Broadcom, que deverá ser concluída em ou até 30 de outubro. Strong The One também deu a entender que os anúncios da encarnação europeia da conferência VMware Explore, que começa em 6 de novembro, são iminentes.
Mas Strong The One também encontrou postagens alegando que cartas oferecendo emprego na Broadcom começaram a chegar aos EUA, com alguns funcionários da VMware reclamando que – ao contrário de seus colegas próximos – não receberam tal carta. ®
.
