VMware emite una actualización crítica de VDP

Infosecurity
11/01/2018

VMware se ha visto obligado a emitir soluciones para las vulnerabilidades recientemente descubiertas en su producto vSphere Data Protection (VDP), una de ellas crítica.

El último aviso de seguridad del gigante de virtualización publicado esta semana aborda tres vulnerabilidades en el producto de copia de seguridad y recuperación de máquinas virtuales.

La primera es la CVE-2017-15548, una vulnerabilidad de omisión de autenticación que podría permitir a un atacante remoto eludir la autenticación de la aplicación y obtener acceso administrativo no autorizado a los sistemas de destino.

La segunda vulnerabilidad abordada por la actualización es la CVE-2017-15549; un error de carga de archivos que podría permitir a un atacante remoto cargar archivos arbitrarios maliciosos en cualquier ubicación del sistema de archivos del servidor.

Sin embargo, el ataque solo funciona si el ataque es por medio de la autenticación, donde solo se requieren "privilegios bajos" para que funcione, según VMware.

La tercera falla, CVE-2017-15550, es una falla de recorrido transversal que podría permitir a un atacante autenticado remotamete con privilegios bajos "acceder a archivos arbitrarios en el sistema de archivos del servidor en el contexto de la aplicación vulnerable en ejecución".

Los problemas de seguridad anteriores afectan a las versiones 5.x, 6.0.x y 6.1.x del popular producto VDP. VMware ha emitido parches para corregir los problemas en forma de actualizaciones 6.1.6 para usuarios en este último y 6.0.7 para usuarios en las otras versiones afectadas.

Sin embargo, los administradores de sistemas pueden ser perdonados por tener otras cosas en sus mentes esta semana, después de que el año 2018 tuviera un mal comienzo con las revelaciones de las principales vulnerabilidades a nivel de chip Meltdown y Spectre.

Las tres variantes tienen enormes implicaciones para la seguridad de las PC, dispositivos móviles y sistemas en la nube, con proveedores que incluyen Intel, AMD, Amazon, Microsoft, Google y otros en el proceso de publicación rápida de parches y soluciones cuando pueden.