Четверг, 2 июля, 10:37
дома безопасность VMware сталкивается с критической уязвимостью, выявленной в хакерском конкурсе

VMware сталкивается с критической уязвимостью, выявленной в хакерском конкурсе

VMware сталкивается с критическим удаленным исполнением кода уязвимости в ESXi, недавно показанного в хакерском соревновании Cup Tianfu.

На этой неделе VMware выпустила обновления безопасности, исправляющие критическое удаленное выполнение кода на ESXi, недавно обнаруженное ими белые хакеры на хакерском соревновании Кубка Тяньфу Китай.

В ноябре был проведен международный конкурс кибербезопасности Кубка Тяньфу 2019, в котором приняли участие конкурс заработал $ 545.000 за эксплойты нулевого дня.

VMware

Исследователь @xiaowei из 360Vulcan получил самую высокую награду ($ 200,000) за функционал эксплуатировать для продукта VMware vSphere ESXi, который позволил ему сбежать с гостевой виртуальной машины на хост. Критический дефект, обозначаемый как CVE-2019-5544, был оценен CVSS 9,8.

Ο хакер смог взять под контроль узел операционной системы за секунды 24.

Согласно VMware, недостаток CVE-2019-5544 - это проблема автоматической перезаписи, обнаруженная в приложении OpenSLP. с открытым исходным кодом протокола службы определения местоположения (SLP), который позволяет программному обеспечению находить ресурсы в одном сеть.

OpenSLP, используемый в устройствах ESXi и Horizon DaaS, имеет проблему с «перезаписью кучи». VMware оценил серьезность этой проблемы и находится на вершине рейтинга CVSSv3 9,8. «В документе с советами, опубликованными компанией, говорится.

«Вредоносный хакер с доступом сеть на порту 427 на хосте ESXi или любом устройстве управления Horizon DaaS может заменить кучи OpenSLP, что приведет к удаленному выполнению код".

Эксперты VMware, присутствовавшие на конкурсе, получили детали операции, как только эксперт показал атака.

Согласно VMware, дефект затрагивает версии ESXi для 6.0, 6.5 и 6.7, работающие на любой платформе, и версию 8.x для облачного рабочего стола Horizon в качестве рабочего стола (DaaS).

Компания уже устранила проблему для ESXi и в настоящее время работает над решением для Horizon DaaS.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Teo Ehc
Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.

LIVE NEWS

Мошенническая платформа GPay Ltd была закрыта

Верховный суд Великобритании распорядился закрыть и ликвидировать GPay, платформу для торговли криптовалютой.

Apple Silicon: компьютеры могут больше не быть прежними

Согласно Apple, чип, работающий на iPad Pro, также может работать на Mac. Кроме того, как ...

UbuntuEd: новая операционная система для электронного обучения

Новая операционная система для электронного обучения В начале мая молодой разработчик Рудра Сарасват объявил о ...

AMD: новые драйверы для 5600M MacBook Pro!

В июне видеокарта AMD Radeon Pro 5600M появилась на Apple MacBook Pro, который ...

Новый вирус: эволюция H1N1 была выявлена ​​в Китае

Новый штамм свиного гриппа, вирус G4, был описан как «очень, очень опасный» и может привести к распространению нового ...

Шифрование создает расхождения между компаниями и государствами

Двадцать пять лет назад индустрия технологий оказалась на перепутье, которое могло бы привести к очень ...

Умная перчатка, которая переводит язык жестов!

Эта высокотехнологичная перчатка напрямую переводит язык жестов в речь и позволяет глухим людям общаться с кем угодно!

Фишинг-мошенничество нацелено на сайты с бесплатным предложением DNSSEC

Очень умная фишинговая кампания нацелена на блогеров и владельцев веб-сайтов с электронными письмами, притворяющимися от их хостинг-провайдера, которые ...

Носимые устройства Apple и Fitbit будут обнаруживать пациентов с COVID-19!

Стэнфордский университет пытается превратить носимые устройства, такие как Apple Watch и часы здоровья Fitbit, в ...

Новый 870 QVO SSD от Samsung достигнет 8 ТБ!

870 QVO SSD: Samsung Electronics представила новый твердотельный накопитель (SSD) с четырьмя уровнями ячеек (QLC) емкостью до 8 ТБ для пользователей ...