VMware supprime les vulnérabilités critiques dans vSphere Data Protection | Threatpost

VMware a fixé cette semaine deux vulnérabilités critiques dans sa solution vSphere Data Protection qui aurait pu permettre à un attaquant d'exécuter des commandes sur l'appliance virtuelle, entre autres résultats.

Le CERT de Department of Homeland Security a encouragé les utilisateurs et les administrateurs mercredi à appliquer les mises à jour.

vSphere Data Protection est une solution de sauvegarde destinée à être utilisée dans des environnements vSphere et est généralement exécutée en tandem avec VMware vCenter Server et vSphere Web Client.

Selon un avis de sécurité publié mardi, le produit souffre d'un problème de désérialisation de Java qui pourrait permettre à un attaquant distant d'exécuter des commandes. Tim Roberts, Arthur Chilipweli et Kelly Correll, consultants de sécurité chez NTT Security, ont découvert la vulnérabilité, selon le conseil.

VMware a également mis en garde contre une deuxième vulnérabilité dans VDP concernant la façon dont elle stocke les informations d'identification. Selon le conseil, VDP stocke les informations d'identification de vCenter Server en utilisant un cryptage réversible, ce qui pourrait permettre l'obtention des informations d'identification en clair.

Alors que VMware n'a pas précisé la vulnérabilité, le cryptage réversible a un risque majeur: si la clé est compromise, les données peuvent également être compromises. Dans les situations où le cryptage réversible est pris en charge, la clé correspondante doit être stockée en toute sécurité, protégée contre la corruption, récupérée et protégée pendant son utilisation et remplacée périodiquement.

Traditionnellement, l'utilisation du cryptage réversible n'est pas autorisée à moins que les besoins de …

Lire la suite (en anglais)

N'oubliez pas de voter pour cet article !
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (Pas encore de votes)
Loading...

Vous aimerez aussi...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Aller à la barre d’outils