Zwei schwere Sicherheitslücken im VMwares Servermanagement-Software vCenter gefährden Anwender mit einer Schwere von bis zu 9,8 von 10 möglichen Punkten. Die als CVE-2021-21985 und CVE-2021-21986 katalogisierten Lücken erlauben die Ausführung von Code aus der Ferne und werden bereits aktiv ausgenutzt. Bereits am 25. Mai hat VMware die Lücken gepatcht.
9,8 von 10 Punkten
Die schwerere der beiden Lücken mit der Katalognummer CVE-2021-21985 findet sich in der Komponente vSphere-Client, wo aufgrund einer fehlenden Eingabevalidierung im Virtual SAN Health Check-Plug-in ein böswilliger Akteur mit Netzwerkzugriff auf Port 443 Befehle mit uneingeschränkten Rechten auf dem zugrunde liegenden Betriebssystem, wo vCenter gehostet ist, ausführen kann. Betroffen sind alle vCenter Server-Versionen ab 6.5.0 bis inklusive 7.x.
Bei der Lücke, die als CVE-2021-21986 katalogisiert ist, gibt VMware einen Schweregrad von 6.5 an. Sie findet sich ebenfalls im vSphere-Client im Authentifizierungsmechanismus für die Plug-ins Virtual SAN Health Check, Site Recovery, vSphere Lifecycle Manager und VMware Cloud Director Availability. Mit Netzwerkzugriff auf Port 443 können von den betroffenen Plug-ins erlaubte Aktionen ohne Authentifizierung durchgeführt werden.
Beide Lücken und deren Behebung sind im Blog von VMware ausführlich beschrieben. Anwender, die den vCenter-Server nutzen, sollten dringend ihre Installation aktualisieren.
Schreibe einen Kommentar