Sicherheitsbulletins

VMware hat in VMSA-2024-0019 mehrere Sicherheitslücken offengelegt, die sich auf in Kundenumgebungen bereitgestellte vCenter-Komponenten auswirken.

Auswirkungen auf VMware Engine

• Google hat bereits alle potenziellen Ausnutzungen dieser Sicherheitslücke deaktiviert. Google hat z. B. die Ports blockiert, über die könnte ausgenutzt werden.
• Außerdem sorgt Google dafür, dass alle zukünftigen Bereitstellungen von vCenter nicht von dieser Sicherheitslücke betroffen sind.

Wie gehe ich am besten vor?

Sie müssen vorerst nichts weiter unternehmen.

• CVE-2024-38812
• CVE-2024-38813

Im OpenSSH-Server (sshd) wurde die Sicherheitslücke CVE-2024-6387 entdeckt. Diese Sicherheitslücke kann auf glibc-basierten Linux-Systemen aus der Ferne ausgenutzt werden: eine nicht authentifizierte Remote-Codeausführung als Root, da sie sich auf den privilegierten Code von sshd auswirkt, der nicht in einer Sandbox ausgeführt wird und mit vollen Berechtigungen ausgeführt wird.

Zum Zeitpunkt der Veröffentlichung wurde die Ausnutzung als schwierig angesehen. Es ist erforderlich, eine Race-Condition zu gewinnen, was schwer zu bewerkstelligen ist und mehrere Stunden pro angegriffenem Computer dauern kann. Uns sind keine Ausbeutungsversuche bekannt.

Wie gehe ich am besten vor?

1. Wenden Sie Updates aus Linux-Distributionen direkt auf Ihre Arbeitslasten an verfügbar werden. Weitere Informationen finden Sie in der Dokumentation Ihrer Linux-Distribution.
2. Wenn ein Update nicht möglich ist, sollten Sie OpenSSH deaktivieren, bis es gepatcht werden kann.
3. Wenn OpenSSH aktiviert bleiben muss, können Sie auch eine Konfiguration ausführen Update, das die Race-Case-Bedingung für den Exploit entfernt. Dies dient der Verringerung der Laufzeit. Um die Änderungen in der SSHD-Konfiguration anzuwenden, startet dieses Skript den SSHD-Dienst neu.

   #!/bin/bash
   set -e
   
   SSHD_CONFIG_FILE=/etc/ssh/sshd_config
   # -c: count the matches
   # -q: don't print to console
   # -i: sshd_config keywords are case insensitive.
   if [[ "$(grep -ci '^LoginGraceTime' $SSHD_CONFIG_FILE)" -eq 0 ]]; then
       echo "LoginGraceTime 0" >> "$SSHD_CONFIG_FILE"
       echo "Set the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
   else
       sed -i 's/^LoginGraceTime.*$/LoginGraceTime 0/' /etc/ssh/sshd_config
       echo "Changed the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
   fi
   # Restart the sshd service to apply the new config.
   systemctl restart sshd
             

4. Achten Sie schließlich auf ungewöhnliche Netzwerkaktivitäten im Zusammenhang mit SSH-Servern.

• CVE-2024-6387
• Antwort von Broadcom VMware Cloud Foundation

VMware hat im Sicherheitshinweis VMSA-2024-0012 mehrere Sicherheitslücken veröffentlicht, die sich auf vCenter-Komponenten auswirken, die in Kundenumgebungen bereitgestellt werden.

Auswirkungen auf VMware Engine

• Die Sicherheitslücke kann durch Zugriff auf bestimmte Ports in vCenter Server ausgenutzt werden. Google hat die anfälligen Ports auf dem vCenter-Server bereits blockiert, um potenzielle Ausnutzungen dieser Sicherheitslücke zu verhindern.
• Darüber hinaus stellt Google sicher, dass alle zukünftigen Bereitstellungen von vCenter mit dieser Sicherheitslücke konfrontiert werden.

Wie gehe ich am besten vor?

Sie müssen vorerst nichts weiter unternehmen.

• CVE-2024-37079
• CVE-2024-37080
• CVE-2024-37081

VMware legte in VMSA-2024-0006 mehrere Sicherheitslücken offen, wirken sich auf ESXi-Komponenten aus, die in Kundenumgebungen bereitgestellt werden.

Auswirkungen auf VMware Engine

Ihre privaten Clouds wurden aktualisiert, um die Sicherheitslücke zu schließen.

Wie gehe ich am besten vor?

Sie müssen nichts weiter tun.

• VMSA-2024-0006
• CVE-2024-22252
• CVE-2024-22253
• CVE-2024-22254
• CVE-2024-22255

VMware hat mehrere Sicherheitslücken in VMSA-2023-0023 veröffentlicht, die sich auf vCenter-Komponenten auswirken, die in Kundenumgebungen bereitgestellt werden.

Auswirkungen auf VMware Engine

• Die Sicherheitslücke kann durch den Zugriff auf bestimmte Ports ausgenutzt werden in vCenter Server. Diese Ports sind nicht öffentlich zugänglich Internet.
• Wenn auf Ihre vCenter-Ports 2012/tcp, 2014/tcp und 2020/tcp nicht von nicht vertrauenswürdigen Systemen zugegriffen werden kann, sind Sie nicht von dieser Sicherheitslücke betroffen.
• Google hat die anfälligen Ports auf dem vCenter-Server bereits blockiert. eine mögliche Ausnutzung dieser Schwachstelle zu verhindern.
• Darüber hinaus sorgt Google dafür, dass alle zukünftigen Bereitstellungen von vCenter nicht an diese Sicherheitslücke gebunden.
• Zum Zeitpunkt der Veröffentlichung dieses Bulletins ist VMware keine reale Ausnutzung bekannt. Weitere Informationen finden Sie in der VMware-Dokumentation.

Wie gehe ich am besten vor?

Derzeit sind keine weiteren Maßnahmen erforderlich.

• CVE-2023-34048, CVE-2023-34056

Mit den VMware vCenter Server-Updates werden mehrere Sicherheitslücken in Bezug auf Speicherbeschädigungen behoben (CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895, CVE-2023-20896).

Auswirkungen auf VMware Engine

VMware vCenter Server (vCenter Server) und VMware Cloud Foundation (Cloud Foundation)

Wie gehe ich am besten vor?

Für Kunden hat die Änderung keine Auswirkungen und es sind keine Maßnahmen erforderlich.

• CVE-2023-20893

Intel hat kürzlich Intel Security Advisory INTEL-SA-00828 angekündigt, die sich auf einige ihrer Prozessorfamilien auswirkt. Wir empfehlen Ihnen, Ihre Risiken auf Grundlage der Empfehlung zu bewerten.

Auswirkungen auf VMware Engine

Unsere Flotte verwendet die betroffenen Prozessorfamilien. Bei unserer Bereitstellung ist der gesamte Server einem einzelnen Kunden gewidmet. Daher ist unsere Bereitstellung kein zusätzliches Risiko für Ihre Bewertung dieser Sicherheitslücke.

Wir arbeiten mit unseren Partnern zusammen, um die notwendigen Patches zu erhalten, und werden diese Patches in der gesamten Flotte mithilfe der Methode Standard-Upgrade-Prozess in den nächsten Wochen durchgeführt.

Wie gehe ich am besten vor?

Sie müssen nichts weiter tun. Wir arbeiten daran, alle betroffenen Systeme zu aktualisieren.

• CVE-2022-40982

Gemäß dem VMware-Sicherheitshinweis VMSA-2021-0020 hat VMware Berichte zu mehreren Sicherheitslücken in vCenter erhalten. VMware hat Aktualisierungen vorgenommen, um diese Sicherheitslücken in den betroffenen VMware-Produkten zu beheben.

Wir haben die von VMware bereitgestellten Patches für den vSphere-Stack bereits gemäß dem VMware-Sicherheitshinweis auf Google Cloud VMware Engine angewendet. Mit diesem Update werden die in CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008 und CVE-2021-22010 beschriebenen Sicherheitslücken behoben. Andere nicht kritische Sicherheitsprobleme werden im nächsten VMware-Stack-Upgrade behoben (siehe Vorabankündigung vom Juli). Weitere Details zur spezifischen Zeitachse des Upgrades werden bald bereitgestellt.

Auswirkungen auf VMware Engine

Unsere Untersuchungen haben ergeben, dass davon keine Kunden betroffen waren.

Was soll ich tun?

Da VMware Engine-Cluster von dieser Sicherheitslücke nicht betroffen sind, sind keine weiteren Maßnahmen erforderlich.

• VMSA-2021-0002
• CVE-2021-22005
• CVE-2021-22006
• CVE-2021-22007
• CVE-2021-22008
• CVE-2021-22010

Gemäß VMware-Sicherheitshinweis VMSA-2021-0010 wurden die Remote-Codeausführung und die Authentifizierung über die Sicherheitslücken im vSphere-Client (HTML5) privat an VMware gemeldet. VMware hat Aktualisierungen vorgenommen, um diese Sicherheitslücken in den betroffenen VMware-Produkten zu beheben.

Wir haben die von VMware bereitgestellten Patches gemäß dem VMware-Sicherheitshinweis für den vSphere-Stack angewendet. Mit diesem Update werden Sicherheitslücken behoben, die in CVE-2021-21985 und CVE-2021-21986 beschrieben wurden. Die Image-Versionen, die in Ihrer privaten VMware Engine-Cloud ausgeführt werden, spiegeln derzeit keine Änderungen wider, die auf die angewendeten Patches hinweisen. Sie können sich darauf verlassen, dass entsprechende Patches installiert und Ihre Umgebung vor diesen Sicherheitslücken geschützt wird.

Auswirkungen auf VMware Engine

Unsere Untersuchungen haben ergeben, dass davon keine Kunden betroffen waren.

Was soll ich tun?

Da VMware Engine-Cluster von dieser Sicherheitslücke nicht betroffen sind, sind keine weiteren Maßnahmen erforderlich.

• VMSA-2021-0010
• CVE-2021-21985
• CVE-2021-21986

Im VMware-Sicherheitshinweis VMSA-2021-0002 hat VMware Berichte über mehrere Sicherheitslücken in VMware ESXi und vSphere Client (HTML5) erhalten. VMware hat Aktualisierungen vorgenommen, um diese Sicherheitslücken in den betroffenen VMware-Produkten zu beheben.

Wir haben uns der offiziell dokumentierten Problemumgehung für den vSphere-Stack entsprechend dem VMware-Sicherheitshinweis bedient. Mit diesem Update werden Sicherheitslücken behoben, die in CVE-2021-21972, CVE-2021-21973 und CVE-2021-21974 beschrieben sind.

Auswirkungen auf VMware Engine

Unsere Untersuchungen haben ergeben, dass davon keine Kunden betroffen waren.

Was soll ich tun?

Da VMware Engine-Cluster von dieser Sicherheitslücke nicht betroffen sind, sind keine weiteren Maßnahmen erforderlich.

• VMSA-2021-0002
• CVE-2021-21972
• CVE-2021-21973
• CVE-2021-21974