IND | ENG
VMware Perbaiki Bug Kritis Cloud Foundation, Segera Instal Patch-nya!

Foto: recode.net

VMware Perbaiki Bug Kritis Cloud Foundation, Segera Instal Patch-nya!
Andi Nugroho Diposting : Kamis, 27 Oktober 2022 - 10:10 WIB

Cyberthreat.id – Anda pengguna VMware?

Ada kabar baik bahwa per 25 Oktober 2022, perusahaan penyedia perangkat lunak virtualisasi dan cloud computing asal Amerika Serikat tersebut telah memperbarui kerentanan kritis di VMware Cloud Foundation.

VMware Cloud Foundation dikenal sebagai platform cloud hybrid yang menjalankan aplikasi perusahaan baik di lingkup pribadi atau publik.

Kerentanan yang diberi kode CVE-2021-39144 ditemukan di XStream open-source library. Bug ini memiliki skor keparahan 9,8 dari 10 skor maksimum yang ditetapkan perusahaan.

Dengan kondisi celah itu, peretas bisa mengeksploitasi atau mengeksekusi kode secara jarak jauh, bahkan tanpa perlu interaksi dengan pengguna perangkat tersebut, tulis BleepingComputer, diakses Kamis (27 Oktober).

Kerentanan sebelumnya ditemukan oleh peneliti keamanan siber dari Source Incite, Sina Kherikhah dan Steven Seeley.

Mengatasi masalah itu, VMware merilis tambalan (patch) untuk layanan yang sudah habis masa pakainya. Dengan merilis XStream versi 1.4.19, masalah tersebut telah teratasi dan segala upaya ekpsloitasi yang menargetkan server bisa diblokir.

VMware juga telah mengeluarkan patch untuk kelemahan kedua (CVE-2022-31678) yang dapat memicu penolakan layanan (DoS) atau mengekspose informasi jika serangan XML external entity injection (XXE) berhasil dilakukan.

VMware juga menyediakan solusi sementara bagi mereka yang tidak dapat segera menambal peralatannya. Pertama, admin harus masuk ke setiap Mesin Virtual manajer SDDC di lingkungan Cloud Foundation.

Setelah masuk, mereka harus menerapkan hot patch NSX for vSphere (NSX-V) yang akan memperbarui pustaka XStream ke versi 1.4.19

Namun, VMware memberikan peringatan: setiap kali VI workload domain baru dibuat, langkah patching tersebut harus dilakukan kembali.[]

#vmware   #serangansiber   #eksploitasijarakjauh

Share:




BACA JUGA
Serangan siber di Rumah Sakit Ganggu Pencatatan Rekam Medis dan Layanan UGD
Hacker China Luncurkan Serangan Spionase Terselubung terhadap 24 Organisasi Kamboja
Atasi Ancaman AI, Google Perluas Program Bug Bounty
Cacat Kritis Citrix NetScaler Dieksploitasi, Targetkan Pemerintah dan Perusahaan Teknologi
Peneliti Ungkap Serangan yang Tergetkan Pemerintahan dan Raksasa Telekomunikasi di Asia